hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 8 of 86

ZAP에서 Zest Script로 Headless 기반의 인증 자동화 처리하기

  • 3 min read

최근에 Headless 기반의 Authentication script를 만들고 있었는데 약간의 어려움이 있었습니다. 실제로 headless browser를 통해 인증 처리는 쉬우나 그 뒤에 ZAP이 이를 인지하게 하는 것이 쉽지가 않았었는데요. 문뜩 제가 예전에 Zest script를 작성할 때 Client 관련 항목을 봤던게 갑자기 기억이 나서 GUI로 작성해보니 역시나 Client(Headless browser)를 지원하는게 맞았네요.

Read More

ZAP Active Scan 시 Progress와 Response chart 활용하기

  • 2 min read

오늘은 ZAP의 ActiveScan에서 볼 수 있는 Progress와 Response chart에 대한 이야기를 잠깐 하려고 합니다. 뭔가 크게 도움되는건 아니지만 습관적으로 제가 창에 띄어두고 있는게 바로 Scan에 대한 Progress인데요. 왜 띄우고, 어떻게 사용하는지 이야기해보죠.

Read More

[Cullinan #34] Add XS-Leaks, Update Git/OAST

  • ~1 min read

Cullinan 로그 #34입니다. XS-Leaks 추가했고 Git과 OAST에 일부 업데이트가 있었습니다. Git에선 go-to payload 항목, 즉 자주 사용하는 명령 리스트를 추가했고 OAST에선 알려진 OAST 서비스의 주소를 정리해서 추가했습니다.

Read More

ZAP Bookmarklet for Speed up

  • 1 min read

Bookmarklet

Bookmarklet은 Javascript 함수를 Bookmark에 추가하여 마치 브라우저 확장 기능과 유사하게 사용하는 기법으로 간단한 생성 방법에 비해 웹에서의 불편했던 작업들을 단축시킬 수 있어서 많은 사람들이 애용하는 기술입니다.

Read More

PyScript와 Security 🐍🗡

  • 2 min read

최근 PyCon US 2022의 발표 중 PyScript가 공개되었습니다. PyScript는 HTML에서 Python 코드를 사용할 수 있도록 제공하는 라이브러리로 최근 엄청난 범용성과 낮은 러닝 커브를 가진 Python이 웹으로 확장하는 부분이라 관심도 많고 말도 많습니다.

Read More

ZAP HTTP Sessions를 통해 간편하게 세션 기반 테스팅하기

  • 2 min read

ZAP에는 HTTP Sessions라는 기능이 있습니다. 이름과 옵션에 있는 내용을 보고 세션 처리 관련된 기능이구나 생각만 했지 실제로 한번도 사용해보지 않았던 기능입니다. 오늘 놓친 기능이 있을까 싶어서 메뉴를 돌아다니던 중 발견하여 테스트해봤는데 생각보다 테스팅의 불편함을 줄여줄 수 있는 부분으로 보여서 글로 소개해드리려고 합니다 :D

Read More

Go에서 Stdin에 대한 테스트 코드 작성하기

  • 1 min read

테스트 코드 작성 중 우리가 예측 가능한 함수 인자 값은 쉽게 체크가 가능하지만, 시스템으로 부터 넘어오는 데이터는 막상 작성하려고 하면 어떻게 해야할지 고민이 되기 시작합니다.

Read More

CSS Transition 기반의 ontransitionend XSS

  • ~1 min read

@garethheyes가 또 새로운 XSS 벡터를 만들어 왔습니다. 바로 ontransitionend 란 이벤트 핸들러인데요. 이 이벤트 핸들러는 transition, 즉 CSS의 애니메이션이 끝날 때 동작하며 동작을 위해선 해당 Element에 포커스 상태가 되어야합니다.

Read More