hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 5 of 86

XSSHunter가 종료됩니다

1 min read

Blind XSS 도구 중 가장 유명하고 많은 기능을 담았던 XSSHunter가 올해까지만 운영되고 내년부터 서비스가 종료됩니다. 기업 내부에서는 보통 별도의 BXSS Callback 서비스를 구축하거나 OAST를 사용하여 체크했겠지만, 버그바운티 유저나 외부에서 테스팅하는 경우 XSSHunter 사용 빈도가 높았던걸로 알고 있어 아쉬움이 많이 남습니다. (저 또한 굉장히 애용했구요.)

ZAP 2.12 Review ⚡️

2 min read

드디어 ZAP 2.12 버전이 릴리즈되었습니다. 🎉👏🏼🍾 10월 중순쯤에 릴리즈 예정이였지만, 이슈로 약간 늦어졌다고 하네요. 오늘은 ZAP 2.12 버전에서 바뀐 내용들을 리뷰해보도록 하겠습니다. 그럼 시작하죠.

CSRF is dying

3 min read

CSRF는 XSS, SQL Injection과 함께 웹에서 가장 대표적이 취약점 중 하나입니다. 현재까지도 종종 발견되는 취약점이지만, 업계에서는 오래전부터 서서히 죽어간다는 표현을 하고 있습니다.

Metasploit에서 HTTP Debug 하기

1 min read

MSF를 사용하다 보면 실제로 공격 페이로드가 잘 전송되었는지 확인하고 싶을 때가 있습니다. 또 모듈을 이용해서 테스트했지만 개발자 등이 이해하기 쉽게 HTTP 요청으로 보여줘야할 때도 종종 생깁니다.

Broken link를 찾자! DeadFinder

1 min read

최근에 Broken Link(Dead Link)를 쉽게 찾기 위한 도구를 하나 만들었습니다. 제 블로그의 Broken Link를 찾기 위한 목적이였지만, 가볍게라도 한번 공유하는게 좋을 것 같아서 블로그 글로 작성해봅니다.

OAST에 Hint를 더하다

2 min read

OAST(OOB)를 통한 테스팅 방법은 몇년 사이 정말 많은 발전이 있었습니다.

Rake(Ruby Make)

2 min read

Rake는 Ruby에서 사용되는 build utility로 Make유사합니다. rake란 이름 또한 ruby + make 에서 만들어진 단어로 일반적인 Ruby application과 Rails 등 여러가지 환경에서 개발 도구로써 사용됩니다.