Fuzzing은 어플리케이션을 테스트하고 보안 취약점을 찾아내기 위해서 가장 일반적으로 사용하는 기술입니다. 보통 Burpsuite의 Intruder, Turbo Intruder 또는 ZAP의 Fuzz, Caido의 Automate와 같이 Proxy 도구에서 제공하는 기능을 사용하거나 ffuf 같은 cli fuzzer를 사용해서 테스트하곤 합니다.

chatGPT는 출시 이후 정말 많은 것들을 바꿨습니다. 물론 실제 일에 큰 영향을 준다기 보단 여러 AI가 사람들의 많은 관심을 받게되면서 보안적인 관점에서도 충분한 고민과 기술의 발전이 오는 시기라고 생각합니다. 이전에 AI에 대한 공격은 학습 쪽에 관여하는 형태로 치우쳤다면 현재는 Prompt에 대한 테스팅과 관심도 많은 상태입니다.

Crystal-lang에선 Shards를 통해서 패키지와 디펜던시를 관리할 수 있습니다. 이는 go의 go get과 유사하게 yaml 내 작성된 github repository에서 소스를 읽어와 설치하는 형태입니다.

ZAP의 Site tree는 Burp와는 다르게 404 Not found도 보여주고 있습니다. 종종 쓸만한 정보가 되기 하지만 대체로 보기 불편한 존재입니다. ZAP에서는 공식적으로 기능을 제공해주고 있지 않기 때문에 간단하게 스크립팅하여 제거하는 것이 편리합니다. 간단하게 공유해봅니다.

Crystal에서 리소스 파일을 바이너리에 Embed 하는 방법에 대해 기록해둡니다. 깃헙 이슈등을 찾아보면 stdlib로 만들어줄 것 같진 않았고 찾아보니 Rucksack이란 좋은 shard를 발견해서 간단하게 정리해둘게요. 참고로 Rucksack은 Linux와 macOS에서만 동작하고 Windows는 지원하지 않는다고 하니 이 점 참고하면 좋을 것 같습니다.

Hi hackers! Dalfox v2.9 has been released 🚀

Crystal은 컴파일 언어로 바이너리로 빌드하여 사용할 수 있습니다. 그리고 공식 가이드에선 release build 시 —release flag 사용을 권고하고 있는데요. 오늘은 이 flag가 어떤 역할을 하는지, 왜 권고되고 있는지 정리해봅니다.

제가 만든 도구는 대부분 Homebrew, Binary, RubyGem, Snapcraft 등을 통해 배포합니다. 특히 macOS의 경우 Homebrew를 통한 설치 비중이 엄청 높기 떄문에 Go 기반 앱들은 가급적이면 Homebrew를 지원하려고 하고 있습니다. 그리고 이러한 대부분의 작업은 Goreleaser란 도구를 통해서 진행하기 때문에 매우 편리하게 진행했었죠.

요즘 장난감 삼아 Crystal과 Elixir로 여러가지 코드를 작성해보고 있습니다. 특히 Crystal은 Ruby와 제가 예전에 한번 소개하기도 헀고 Ruby와 거의 유사한 문법에 속도까지 갖추고 있어 개인적으로 관심이 많았던 언어입니다. 최근에 여러가지 이유로 Crystal은 주력 언어로 만들어가고 있습니다. 오늘은 Crystal로 작성한 간단한 도구 하나 공유하려고 글을 작성해봅니다.

좋아하는 텍스트 에디터가 있으신가요?