hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 28 of 86

Security considerations for browser extensions

5 min read

브라우저 확장 기능의 보안 관련하여 테스트할게 필요하여 제가 알던 내용에 조금 더 리서치하여 글로 작성해 봅니다. 우선 브라우저 확장 기능은 웹 브라우저에 추가되는 작은 단위의 앱으로 Chrome / Safari / Firefox 등등 다수 브라우저에서 웹 브라우징, 광고차단, 각종 테스트 기능 등 여러 사용자들에게 서비스되고 있습니다. 이는 앱 생태계와 동일하게 개인/기업 등등의 개발자가 규격에 따라 만들고 스토어에 업로드 후 승인 절차를 통해 등록되는 것으로 알고 있습니다.

ZAP 2.10 Review ⚡️

3 min read

2020 마지막이 얼마 남지 않은 오늘 드디어 ZAP 2.10.0이 릴리즈 되었습니다. 그동안 dark mode 등을 이유로 weekly 버전을 사용했었는데, 이제는 공식 버전으로 넘어가도 좋을 것 같네요.

PKA 기반 ssh 환경에서 passphrase를 묻지 않도록 설정하기

~1 min read

Problem

보통 편의성과 보안성 모두를 위해 ssh는 PKA(Public Key Authentication) 기반으로 운영하는 경우가 많습니다. 특히나 AWS, Azure, GCP 등의 퍼블릭 클라우드 서비스들은 외부에 22 와 같은 ssh 포트를 오픈해야하는 필요성이 있기 때문에(ACL이 있던 없던) 당연히 PKA를 기본 인증 체제로 사용합니다. (패스워드는 되도록이면 사용하지 말라고 가이드하고 있죠.)

Why I Use ZAP

5 min read

Army-Knife for AppSec

Application Security 또는 Pentest, Bugbounty 등 전반적인 Offensive security 관련 일에서 가장 핵심적인 도구는 Burp/ZAP 과 같은 Proxy 도구입니다. 초기에는 Proxy 도구라는 성향이 강했지만, 이제는 Proxy 도구라기 보단 Army-Knife 라고 보는게 더 적합할 것 같습니다.

멀티 클라우드, 보안적 관점에서 바라보기

2 min read

AWS가 개최하는 Re:Invent라는 컨퍼런스에서 멀티 클라우드에 대한 이야기가 약간 언급되었나 봅니다. 대충 듣기론 멀티 클라우드를 위한 관리툴에 대한 이야기인 것 같습니다. 그래서 오늘은 멀티클라우드가 뭔지, 그리고 보안쪽 관점에선 어떤 방법으로 바라봐야할지 글로 풀어봅니다. (사실 저도 잘 몰라요. 그냥 생각나는 대로 적는거고, 의견은 댓글로 주세요 😅)

HTTPie, curl을 대체할 만한 강력한 http client

1 min read

지난주인가요? 트윗보다가 쓸만해보이는 curl 같은 도구를 발견했습니다. 바로 httpie라는 도구인데요, human friendly한 컨셉에 처음부터 약간 호감이였고 설치해서 써보니 이건 물건인 것 같아 공유 차원에서 간단하게 글로 작성해봅니다 😍

Make cloud base ZAP Scanning Environment Using github-action

1 min read

Hi hackers and bugbounty hunters :D Today, I talk about building a github-action-based ZAP scanning environment. As you know, there is no time limit for public repo, so you can configure a cloud-based vulnerability scanner for free 😉

Github 2FA 인증 이후 Authentication Error 해결하기

~1 min read

Gitub는 편의성 때문에 2FA(Two-Factor) 인증을 사용하지 않았었는데, Marketplace 업데이트를 위해 약간의 불편함을 감수하고 2FA를 설정했습니다. (어차피 다른 서비스에서 이미 많이 쓰고있던 상태라.. 뭐 사실 크게 불편할게 없을 줄 알았죠)

Setup a Pentest environment with Axiom

3 min read

What is Axiom

Axiom is a dynamic infrastructure framework to efficiently work with multi-cloud enviornments, build and deploy repeatable infrastructure focussed on offensive and defensive security.