hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 25 of 86

well-known 디렉토리와 securty.txt 그리고 humans.txt

1 min read

간혹 웹 페이지를 들여다보면 .well-known 디렉토리를 만나게됩니다. 제 사이트도 올 1월에 security.txt를 추가했었는데, 그 땐 단순히 보안 취약점이나 이슈에 대한 제보를 위해서 만들었었습니다. 오늘은 이 .well-known 디렉토리의 의미와 어떻게 사용되는지 조금더 살펴볼까 합니다.

How to set ZAP active scan input vector in daemon mode

1 min read

What is ZAP Active Scan Input Vector?

Active Scan Input Vector는 ZAP에서 Active Scan 시 Injection 영역을 의미합니다. 물론 특정 Injection 취약점을 의미하는 건 아니고 점검할 부분이라고 보시는게 더 적합합니다. ZAP의 기본값은 URL + POST로 기본적으로 URI/Param 등에 대해서 테스트를 진행하지만 쿠키나 헤더등에는 테스트를 진행하지 않습니다. (시간이 오래걸려서, 이는 ZAP이 CICD에 많이 들어가기 때문)

[Phoenix #3] Update session entropy page

~1 min read

Change note

  • 소숫점 3자리 까지 잘려서 Entropy 표현하도록 수정
  • 일부 문구 수정 및 table 등 간격 수정
  • Case , Length 등을 쉽게 수정할 수 있도록 이벤트 핸들러 변경(단일 Element에만 적용되도록)

Make and change default scan policy in ZAP cli interface

1 min read

ZAP Scan Policy

ZAP은 Passive/Active Scan에 대한 정책을 커스텀하게 관리할 수 있도록 제공하고 있습니다. 이는 단순히 해당 스캔 모듈의 사용 여부 뿐만 아니라 Risk level도 조정할 수 있어 스캐너로 활용하기에도 좋습니다. 그래서인지 DevSecOps를 구축할 때 ZAP은 자주 거론되는 DAST 스캐너이기도 하죠.

ZAP Forced browse 와 Fuzz에서 Sync wordlist 사용하기

3 min read

Forced Browse는 딕셔너리 기반 또는 단순 브루트포스릍 통해서 서비스에서 경로와 페이지를 식별하는 방법입니다. 아주 전통적이지만 Recon 측면에선 아직도 굉장히 중요한 부분이기도 합니다. 그래서 이러한 작업들을 위해서 기존의 dirsearch, dirbuster 등의 도구부터 최근 feroxbuster, gobuster 등 여러가지 기능과 개선을 적용한 새로운 도구들도 끊임없이 나오고 있습니다.

Bump a go package version

1 min read

My Problem

간혹 go get 으로 제가 만든 도구를 설치 시 구버전(현재는 2버전대인데, 1버전대가..)이 설치되는 이슈가 있었습니다. 또한 pkg.go.dev에도 구버전이 마지막 릴리즈로 있고 변화가 없던 상태였죠.

Go flag에서 custom usage 만들기

2 min read

golang에서 cli 도구를 만들 때 가장 먼저 접하는 도구는 flag입니다. 저 또한 flag로 시작하여 cobra, unfave 등 여러가지 써보다가 결국은 잘 사용하던 cobra를 버리고 flag로 다시 돌아왔습니다. go의 내장형 option parser로 심플하지만, 편의성을 위한 부분들은 많이 적어서 때때로, 직접 오버라이드와 같이 라이브러리의 원본 함수를 수정하여 사용해야하는 경우가 있습니다.

gee released! tool of stdin to each files and stdout with more

1 min read

연휴 기간동안 gee라는 도구를 만들었습니다. tee랑 비슷한 도구이고 추가적인 기능들이 포함된 tee라고 생각하시면 됩니다. 오늘은 간단하게 gee에 대해 소개할까 합니다.

Rails generate 시 멈추는 경우 해결 방법

~1 min read

제가 2019년부터 go를 메인언어로 확정하면서 ruby로 개발할 일이 매우 줄어들었습니다. 그래도 가끔씩 빠르게 작업이 필요한 경우 ruby를 의도하지 않게 사용하는데, 간혹 rails g, rails generate 시 멈추는 상황이 있습니다. 그럼 원인과 해결 방법에 대해 글 작성해봅니다 :D