오늘은 Github action의 runner에 대한 이야기를 하려고 합니다.

Cullinan 로그 #39입니다. SRI(Subresource Integrity)와 File Inclusion(LFI/RFI)에 대한 내용이 추가되었습니다. 그리고 수정 사항으론 Prototype Pollution에서 ZAP PassiveScan Script를 추가했고 XSS와 Path traversal 내 여러가지 항목들을 개선했습니다 😊

제가 작년부터 ZAP의 Authentication / Authorization 기능들에 대한 이야기를 많이 했었던 것 같습니다. 실제로 테스팅에도 많은 부분들을 적용하고 사용하고 있었습니다.

Cullinan 로그 #38입니다.

Active Scan

먼저 Active Scan에 대한 이야기를 가볍게하고 시작하겠습니다. ZAP의 Active Scan은 수집된 URL을 기반으로 지정된 패턴, 로직으로 자동화된 보안 테스팅을 하는 기능입니다. 보편적으론 사이트 전체에 대한 스캔이 많이 언급되지만, ZAP의 강점 중 하나는 원하는 HTTP Request를 대상으로 단건의 스캐닝을 쉽게 할 수 있기 때문입니다.

Cullinan 로그 #37입니다.

Cullinan 로그 #36입니다.

제가 최근에 Dependabot alerts 에 확인된 취약점 중 패키지 확인이 안되는 취약점이 있었습니다.

ZAP의 강력한 기능인 Scripting에서 한번 더 강력하게 만들어 주는 것이 바로 Zest script입니다. JSON 기반의 스크립트로 웹 Req/Res 그리고 Headless browser에 대한 컨트롤, 마지막으로 Assertion 등 테스팅 기능을 이용해 간단한 코드로 복잡한 테스팅을 할 수 있는 스크립트입니다. 자세한 내용은 제가 전에 작성했던 글들을 참고해주세요.

Cullinan 로그 #35입니다. Github-Action Injection과 Email Injection을 추가하였습니다. 그리고 Path-traversal, XSS, CSRF, ZAP에 일부 내용을 개선하고 추가했습니다.