hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 8 of 86

Go dependency(go.mod) 추적하기

~1 min read

제가 최근에 Dependabot alerts 에 확인된 취약점 중 패키지 확인이 안되는 취약점이 있었습니다.

Zest script in CLI

2 min read

ZAP의 강력한 기능인 Scripting에서 한번 더 강력하게 만들어 주는 것이 바로 Zest script입니다. JSON 기반의 스크립트로 웹 Req/Res 그리고 Headless browser에 대한 컨트롤, 마지막으로 Assertion 등 테스팅 기능을 이용해 간단한 코드로 복잡한 테스팅을 할 수 있는 스크립트입니다. 자세한 내용은 제가 전에 작성했던 글들을 참고해주세요.

[Cullinan #35] Github-Action/Email Injection

~1 min read

Cullinan 로그 #35입니다. Github-Action Injection과 Email Injection을 추가하였습니다. 그리고 Path-traversal, XSS, CSRF, ZAP에 일부 내용을 개선하고 추가했습니다.

ZAP에서 Zest Script로 Headless 기반의 인증 자동화 처리하기

3 min read

최근에 Headless 기반의 Authentication script를 만들고 있었는데 약간의 어려움이 있었습니다. 실제로 headless browser를 통해 인증 처리는 쉬우나 그 뒤에 ZAP이 이를 인지하게 하는 것이 쉽지가 않았었는데요. 문뜩 제가 예전에 Zest script를 작성할 때 Client 관련 항목을 봤던게 갑자기 기억이 나서 GUI로 작성해보니 역시나 Client(Headless browser)를 지원하는게 맞았네요.

ZAP Active Scan 시 Progress와 Response chart 활용하기

2 min read

오늘은 ZAP의 ActiveScan에서 볼 수 있는 Progress와 Response chart에 대한 이야기를 잠깐 하려고 합니다. 뭔가 크게 도움되는건 아니지만 습관적으로 제가 창에 띄어두고 있는게 바로 Scan에 대한 Progress인데요. 왜 띄우고, 어떻게 사용하는지 이야기해보죠.

[Cullinan #34] Add XS-Leaks, Update Git/OAST

~1 min read

Cullinan 로그 #34입니다. XS-Leaks 추가했고 Git과 OAST에 일부 업데이트가 있었습니다. Git에선 go-to payload 항목, 즉 자주 사용하는 명령 리스트를 추가했고 OAST에선 알려진 OAST 서비스의 주소를 정리해서 추가했습니다.

ZAP Bookmarklet for Speed up

1 min read

Bookmarklet

Bookmarklet은 Javascript 함수를 Bookmark에 추가하여 마치 브라우저 확장 기능과 유사하게 사용하는 기법으로 간단한 생성 방법에 비해 웹에서의 불편했던 작업들을 단축시킬 수 있어서 많은 사람들이 애용하는 기술입니다.

PyScript와 Security 🐍🗡

2 min read

최근 PyCon US 2022의 발표 중 PyScript가 공개되었습니다. PyScript는 HTML에서 Python 코드를 사용할 수 있도록 제공하는 라이브러리로 최근 엄청난 범용성과 낮은 러닝 커브를 가진 Python이 웹으로 확장하는 부분이라 관심도 많고 말도 많습니다.