hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 7 of 86

[Cullinan #40] How to Hack a X Series

~1 min read

Cullinan 로그 #40입니다. websocket security와 Insecure File Upload 항목이 추가되었고, How to Hack a MacOS Application 항목이 추가되었습니다. 이외에 SSE 내 부족한 부분들 보강하고, NoSQL InjectionXSS 부분 개선이 있었습니다.

[Cullinan #39] SRI and File Inclusion

~1 min read

Cullinan 로그 #39입니다. SRI(Subresource Integrity)와 File Inclusion(LFI/RFI)에 대한 내용이 추가되었습니다. 그리고 수정 사항으론 Prototype Pollution에서 ZAP PassiveScan Script를 추가했고 XSS와 Path traversal 내 여러가지 항목들을 개선했습니다 😊

ZAP Forced User Mode!!

1 min read

제가 작년부터 ZAP의 Authentication / Authorization 기능들에 대한 이야기를 많이 했었던 것 같습니다. 실제로 테스팅에도 많은 부분들을 적용하고 사용하고 있었습니다.

Input/Custom Vectors를 사용하여 ZAP에서 정밀하게 취약점 스캔하기 🎯

1 min read

Active Scan

먼저 Active Scan에 대한 이야기를 가볍게하고 시작하겠습니다. ZAP의 Active Scan은 수집된 URL을 기반으로 지정된 패턴, 로직으로 자동화된 보안 테스팅을 하는 기능입니다. 보편적으론 사이트 전체에 대한 스캔이 많이 언급되지만, ZAP의 강점 중 하나는 원하는 HTTP Request를 대상으로 단건의 스캐닝을 쉽게 할 수 있기 때문입니다.

Go dependency(go.mod) 추적하기

~1 min read

제가 최근에 Dependabot alerts 에 확인된 취약점 중 패키지 확인이 안되는 취약점이 있었습니다.

Zest script in CLI

2 min read

ZAP의 강력한 기능인 Scripting에서 한번 더 강력하게 만들어 주는 것이 바로 Zest script입니다. JSON 기반의 스크립트로 웹 Req/Res 그리고 Headless browser에 대한 컨트롤, 마지막으로 Assertion 등 테스팅 기능을 이용해 간단한 코드로 복잡한 테스팅을 할 수 있는 스크립트입니다. 자세한 내용은 제가 전에 작성했던 글들을 참고해주세요.