오늘은 Metasploit 의 강력한 쉘인 Meterpreter shell 중 Railgun과 IRB를 이용한 API 사용에 대한 내용을 준비했습니다.

우분투 소프트웨어 센터에서 쓸만한 툴이 있나 찾아보던 중 Geany라는 개발 IDE에 대해 알게 되었습니다.

이번에 가상머신 정리좀 할 겸 최근에 이야기 나왔던 BlackArch를 설치해봤습니다. 개인적으로 Arch Linux를 써본적이 없기 때문에(딱 한번 설치만 해봤던거 같네요) 기대감을 지닌 채 구성을 하였습니다.

지속적인 모의해킹은 인프라, 서비스의 보안성을 향상 시키는데 큰 도움이 됩니다. 다만 뒷처리가 깔끔하지 않다면 더 취약해질 수도 있다는 문제점을 가지고 있죠.

리눅스에서 여러가지 테스트를 하다보면 memory를 full 시켜야할 상황이 오기도 합니다. 사실 제가 이런 테스트가 필요하기보단 필요한 분 도와드리다보니 아무래도 정리해놓는게 좋을 것 같아 가볍게 작성합니다.

오랜만에 Exploit 코드 분석을 해볼까합니다. (한참된거 같네요) 최근 wget, 즉 gnu wget에서 Arbitrary File Upload와 Remote Code Execution 취약점이 발견되었습니다. 딱봐도 파급력이 크기 때문에 당연 CVE도 붙었고 CVSS Risk level 도 높을 것으로 보이네요. 그럼 시작해볼까요?

지난 포스팅에선 nokogiri를 이용한 parsing 을 했다면 이번에는 조금 더 발전 시켜서 간단한 Spider를 만들어볼까 합니다. 물론 훨씬 좋은 라이브러리들이 있지만 가장 기본이되는 nokogiri를 잘 안다면 많은 도움이 있을 수 있겠지요.

웹 서비스를 탐색하는 도구들을 만들다 보면 많이 접하게 되는 작업이 하나 있습니다. 바로 HTML, XML 등 구조화된 문서를 파싱하는 작업인데요. 오늘은 Ruby의 강력한 파싱 라이브러리인 Nokogiri에 대해 이야기할가 합니다.

오늘은 웹 해킹 기법 중 핫한 CSRF에 대한 이야기를 좀 할까합니다. XSS와 함께 정말 자주 잡게되는 취약점이고 사용 방향에 따라 영향력도 높을 수도 있는 멋진 친구이지요. 오늘은 아주 희소하지만 PUT/DELETE 등 GET/POST가 아닌 CSRF에 대한 이야기를 할까 합니다.

웹 개발을 하다보면 Ajax 등을 이용하여 데이터를 처리할 때 사용자의 눈을 즐겁게(?)하는 로딩 바를 만드는 방법에 대해 작성하겠습니다.