일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | ||
6 | 7 | 8 | 9 | 10 | 11 | 12 |
13 | 14 | 15 | 16 | 17 | 18 | 19 |
20 | 21 | 22 | 23 | 24 | 25 | 26 |
27 | 28 | 29 | 30 | 31 |
- Codeup
- MySQL
- OpenSource
- github
- 자료구조
- SUA
- ubuntu
- 백준알고리즘
- gotify
- Network
- 운영체제
- github action
- C언어
- 데이터통신
- virtualbox
- DVWA
- goKart
- 알고리즘
- CodeQL
- JSP
- gosec
- Database
- Python
- Juice Shop
- JDBC
- sqli
- LGTM
- juice-shop
- OWASP
- firewall
- Today
- Total
목록OpenSource (6)
비트(bit)주세요
1. 과제 2. 내용 서버 측에서 위조된 요청을 보내도록 하는 취약점 CSRF(Client Side Request Forgery) : 클라이언트 측의 요청을 변조시킴 -> 웹사이트가 사용자의 웹브라우저를 신뢰함 SSRF(Server Side Request Forgery) : 서버 측의 요청을 변조시킴 -> 서버 측이 내부 자원을 사용자에게 가져다주게 할 수 있음 CSRF : 인증 강화, XSS 대응, Referer 체크 SSRF : 블랙 리스트 방식 사용, 서버와 내부망의 분리 3. 후기 CSRF, SSRF 취약점이 항상 헷갈렸는데, 이번 기회에 차이점을 숙지할 수 있었다. 4. 결론 CSRF, SSRF 공격 사례 찾아보기 CSRF, SSRF 취약점 대응 코드 찾아보기 5. 참고 SSRF 취약점 공부 (..
1. 과제 2. 내용 IAST ? 대화형 애플리케이션 보안 테스트(IAST)는 앱이 실제로 사용되는 동안 (실제 사용자 또는 자동화된 테스트 실행자가) 애플리케이션 실행 취약점을 테스트하는 애플리케이션 보안 테스트 방법 장점 - 프로덕션에서 코드 스캔 : 프로덕션에서 실제로 사용되는 코드를 스캔할 수 있다. - 개발 중인 코드 스캔 : IAST는 개발 중에도 사용할 수 있다. 일부 IAST 도구는 IDE 통합과 함께 제공되어 엔지니어에게 구현 중인 기능에 대한 빠른 피드백을 제공함. - 빠른 수정 : IAST를 사용하면 애플리케이션을 클릭하여 문제를 찾고 빠른 수정을 위한 권장 사항을 제공할 수 있음. 단점 - 시간 집약적 : IAST 테스트 방법을 사용하려면 애플리케이션을 빌드하고 실행해야 하므로 장기..
1. 과제 2. 내용 GitHub에서 제공하는 CI/CD(지속적 통합/지속적 배포) 툴 프로그램을 개발하면 원활하고 안전한 사용을 위해, 코드에 문제가 없는지 지속적으로 검사를 해주어야 한다. 하지만, 여러명의 프로그래머가 코드를 작성하고, 프로젝트 규모가 커지면 번거롭고 버겁다. 그래서 이것을 자동으로 실행시킬 수 있는 툴이 등장했는데, 그 중 하나가 [GitHub Action]이다. 이 툴을 사용하기 위해 지켜져야 할 몇가지 규칙이 있는데 다음과 같다. ※ [/.github/workflows/] 디렉토리에 파일을 작성해야 한다. ※ 파일 형식은 [.yml]이다. Workflow 자동화된 전체 프로세스 Event Workflow를 실행하는 특정 활동, 규칙 Job 여러 Step으로 이루어지고, 단일 가..

1. 과제 2. 내용 Go-SCP 코드 작성 실습 시 파일 형식 취약점이 존재하는 코드의 파일 : [취약점 약어]_[vuln].[확장자] 취약점을 방지한 코드의 파일 : [취약점 약어]_[safe].[확장자] Ubuntu 환경에서 깃허브 저장소에 파일을 push 하는 중, 패스워드 말고 토큰을 입력해야 push가 되는 상황 원인 : 패스워드 말고 토큰을 입력해야 Push가 되도록 정책을 바꿈 -> Push를 할 때마다, 토큰을 입력해줘야 하는 번거로운 상황 발생 -> 토큰을 Ubuntu에 저장시키고 쓰자 방법 credential 정보를 반영구 저장하는 방식 sudo git config --unset credential.helper sudo git config credential.helper store 처..

Gosec : Golang 취약점 점검 애플리케이션 https://github.com/securego/gosec GitHub - securego/gosec: Golang security checker Golang security checker. Contribute to securego/gosec development by creating an account on GitHub. github.com golang 버전 확인 go version gosec 설치법 go version go[버전] linux/amd64에 있는 버전이 1.16 이상일 경우(1.16이 가장 최신 버전인가) go install github.com/securego/gosec/v2/cmd/gosec@latest 1.16 미만일 경우 go g..

Gotify 오픈소스 링크 https://github.com/gotify/server GitHub - gotify/server: A simple server for sending and receiving messages in real-time per WebSocket. (Includes a sleek web-ui) A simple server for sending and receiving messages in real-time per WebSocket. (Includes a sleek web-ui) - GitHub - gotify/server: A simple server for sending and receiving messages in real-time pe... github.com Gotify CL..