정보보안 SUA - [오픈소스 보안] 3주차

1. 과제

<Juice-Shop 취약점 3개 찾기>

<opensource-security-sua에 진단할 repo 3개, juice-shop, bunkerized-nginx 올리기>

<Cloudflare + Nginx>

<Gotify 서버 사용해보기>

<Gotify CLI와 Burp Suite를 활용해서 REST API 요청, 응답 모두 테스트하기>

<Golang SAST 준비>

2. 내용

<Juice-Shop 진행 방식 결정>

CTF 형식 vs 모의해킹 형식

모의해킹 형색 채택: CTF 방식도 흥미로웠지만, 모의해킹 형식으로 진행해보며 업무에 대한 적응도를 높이는 것도 괜찮을거라 판단.[Juice-Shop] 스코어보드에 취약점 현황을 보고 찾아 나아가기.

 

<bunkerized-nginx certbot 인증서 발급 문제 해결 중>

도메인에 SSL 인증서가 발급되지 않는 오류 발생

  -> Bunkerized-Nginx를 실행시키는 로컬 환경, VM 환경에서 제대로 동작하지 않음

          -> 방화벽 문제인가?

                   -> 방화벽을 비활성화 시키고 재실행

                              -> 나아지지 않음

          -> 라우팅 문제인가?

                    -> tracert 명령어를 사용하여 경로 추적

                              -> 라우팅엔 문제 없음

 -> Cloudflare와 가비아의 도메인을 연동하여 재시도 예정

 

3. 후기

1. 멘토링 진행중에 나왔던 개념이나 의견 등등을 머릿속으로만 기억하니, 나중에 되새기기 힘들었다.

그래서 포스팅 할 때에 시간이 꽤 소요되었다. 다음 멘토링 진행때부터는 간단하게라도 메모장에 기록 해야겠다. 

 

2. 지금까지 많은 오류를 경험해왔지만, bunkerized-nginx 에러보다 해결하기 힘든 에러는 못 본 것 같다.

 

4. 결론

1. 먼저 진단하려는 오픈소스가 gotify/server인데 go언어로 구성되어 있다.

go언어 문법을 얕게라도 숙지해야겠다.

 

2. 취약점 진단 툴에 대한 이해도를 높이고 점검을 들어가야겠다.

 

5. 참고

[Juice-Shop 취약점 리스트]

https://github.com/juice-shop/juice-shop/blob/master/SOLUTIONS.md

GitHub - juice-shop/juice-shop: OWASP Juice Shop: Probably the most modern and sophisticated insecure web application

 

[무료 오픈소스 애플리케이션 보안 도구 목록]

https://owasp.org/www-community/Source_Code_Analysis_Tools

Source Code Analysis Tools | OWASP

 

[codeQL이란?]

https://ksg97031.medium.com/codeql%EC%9D%B4%EB%9E%80-9cdee2c4f078

CodeQL이란..

 

[golang 문법]

http://golang.site/

예제로 배우는 Go 프로그래밍