hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 21 of 86

[Cullinan #9] Added history of owasp top 10

  • ~1 min read

Change Note

cullinan에 History Of OWASP TOP 10 이란 이름의 페이지를 추가했습니다. 이는 OWASP TOP 10의 변화를 한눈에 보기 위해 만든 페이지로 새로운 년도의 버전이 나올 때 마다 갱신해 나갈 예정입니다.

Read More

ZAP Scanning to Swagger Documents

  • ~1 min read

OpenAPI in ZAP

ZAP은 단순히 url 리스트를 import 하는 기능 이외에도 GraphQL endpoint나 OpenAPI를 import 하는 기능을 가지고 있습니다. 여기서 OpenAPI Import를 활용하면 보통 API Spec에 많이 사용되는 SwaggerUI의 doc 데이터를 가지고 Example 코드에 맞게 API 데이터를 로드할 수 있습니다.

Read More

Chrome lighthouse를 통한 웹 페이지 성능 측정

  • 1 min read

보통 SEO나 사이트 퍼포먼스를 측정하기 위해 온라인 페이지를 사용하는 경우가 많습니다. 물론 나쁘지 않은 방법이지만 해당 사이트가 수집한 데이터를 어떻게 사용할지, 또한 이 결과가 다른 SEO 등에 어떤 영향을 미치는지 우리는 잘 알지 못합니다.

Read More

Customize request/response panel in ZAP

  • 1 min read

오늘은 ZAP의 소소한 팁 하나를 공유할까 합니다. 보통 Request/Response 탭은 Layout 정도만 변경하고 기본 값을 사용하는 경우가 많은데요 사실 ZAP의 Request/Response 탭은 생각보다 디테일하게 설정이 가능합니다.

Read More

DOM Invader, BurpSuite의 DOM-XSS Testing 도구

  • 2 min read

아.. PortSwigger에서 또 물건 하나 만든 것 같습니다. PortSwigger의 BurpSuite 스캔 성능 중 손에 꼽는 부분이 바로 DOM Testing 부분입니다. 보통의 도구들은 DOM XSS를 찾기 위해 정해진 패턴을 headless browser로 렌더링하여 테스트하거나 js 코드 내 공격에 주로 사용되는 패턴(eval, innerHTML, document.write 등)을 감지하고 사용자에게 전달해주는 형태로 동작합니다.

Read More

ZAP Passive Scan Tags와 Neonmarker 그리고 Highlighter

  • 2 min read

많은 양의 Web URL을 분석하게 되면 눈에 잘 안들어오고, 중요한 부분들을 놓치기 마련인데 highlight 관련 기능들은 조금 더 중요한 포인트에 집중을 할 수 있도록 포인트를 잡아주기 때문에 개인적으로는 잘 활용하는게 분석함에 있어서 큰 도움이 된다고 생각합니다.

Read More