휴가중이라 피드나 트윗등을 자주 보진 못하지만 k8s RCE 관련하여 글이 있어서 가볍게 살펴보고 포스팅해봅니다.

Reverse Tabnabbing 관련해서 기존에는 phoenix에 테스트용 페이지만 만들어두고 썼었는데 내용 정리좀 할겸 cullinan에 추가했습니다.

최근에 개인 resources 페이지를 리뉴얼 했습니다. 기존에는 그냥 자주 사용하는 온라인 도구들의 링크 정도만 있었는데, 테스팅 / 워드리스트 / 버그바운티 도메인 등 관련해서 주기적으로 파일을 생성하여 공개하려고(어차피 거의 저만 쓰긴 하겠지만..) 간단하게 추가했습니다.

ZAP에서의 quickscan이나 spider, active scan 등을 기본적으로 다중 URL을 지원하지 않습니다. 그래서 예전에 아래 포스트와 같은 방법으로 API를 이용한 방법, 그리고 별도의 도구를 만들어서 스캔하는 방법을 사용하곤 했습니다.

Problem

Session entropy 계산 시 특수문자가 반영되지 않는 이슈가 있었습니다. 그냥 자동으로 계산하기 귀찮아서 Session type 드롭박스에 Ascii로 선택 시 반영되도록 추가했었는데, 크게 효용성이 없는 것 같네요..

간혹 웹 페이지를 들여다보면 .well-known 디렉토리를 만나게됩니다. 제 사이트도 올 1월에 security.txt를 추가했었는데, 그 땐 단순히 보안 취약점이나 이슈에 대한 제보를 위해서 만들었었습니다. 오늘은 이 .well-known 디렉토리의 의미와 어떻게 사용되는지 조금더 살펴볼까 합니다.

What is ZAP Active Scan Input Vector?

Active Scan Input Vector는 ZAP에서 Active Scan 시 Injection 영역을 의미합니다. 물론 특정 Injection 취약점을 의미하는 건 아니고 점검할 부분이라고 보시는게 더 적합합니다. ZAP의 기본값은 URL + POST로 기본적으로 URI/Param 등에 대해서 테스트를 진행하지만 쿠키나 헤더등에는 테스트를 진행하지 않습니다. (시간이 오래걸려서, 이는 ZAP이 CICD에 많이 들어가기 때문)

Change note

• 소숫점 3자리 까지 잘려서 Entropy 표현하도록 수정
• 일부 문구 수정 및 table 등 간격 수정
• Case , Length 등을 쉽게 수정할 수 있도록 이벤트 핸들러 변경(단일 Element에만 적용되도록)

ZAP Scan Policy

ZAP은 Passive/Active Scan에 대한 정책을 커스텀하게 관리할 수 있도록 제공하고 있습니다. 이는 단순히 해당 스캔 모듈의 사용 여부 뿐만 아니라 Risk level도 조정할 수 있어 스캐너로 활용하기에도 좋습니다. 그래서인지 DevSecOps를 구축할 때 ZAP은 자주 거론되는 DAST 스캐너이기도 하죠.

Forced Browse는 딕셔너리 기반 또는 단순 브루트포스릍 통해서 서비스에서 경로와 페이지를 식별하는 방법입니다. 아주 전통적이지만 Recon 측면에선 아직도 굉장히 중요한 부분이기도 합니다. 그래서 이러한 작업들을 위해서 기존의 dirsearch, dirbuster 등의 도구부터 최근 feroxbuster, gobuster 등 여러가지 기능과 개선을 적용한 새로운 도구들도 끊임없이 나오고 있습니다.