WhiteHat Security

구름 IDE를 활용해서 firebase hosting을 해보려 합니다. react로 프론트, nodejs, express를 백엔드로 사용할 예정입니다. 저는 개발자가 아니라 많이 서툴지만 삽질하면서 해볼 예정이고, 삽질하는 과정도 올려보려고 합니다. node를 사용하려면 google cloud function을 사용해야하고, google cloud function은 nodejs 8 버전을 지원 합니다. 하지만 구름 IDE에서 node프로젝트를 선택하면 기본 10버전으로 설치되어 있습니다. 따라서, google cloud function을 사용하기 위해서는 nodejs 버전을 8로 낮춰줘야 합니다. node를 설치한 후 firebase에서 hosting을 어떻게 할 수 있는지, 구름 위에서 설정 후 실행 ..

유출된 credential을 검색해주는 아주 유용한 툴이다. 모의해킹을 진행할때 이미 유출된 계정을 통해 비밀번호를 유추하여 특정 시스템에 로그인 해 볼 수 있을 것이다. karma는 tor를 이용해 정보를 가져오기때문에 tor를 설치하고 실행한 후 사용할 수 있다. 사용법 동영상 : https://youtu.be/tL-kYkmudz4 출처 : https://github.com/decoxviii/karma ------------------------------------------------------------------------------------------------------------------------ Installation Install dependencies (Debian/Ubuntu..

지인과 협업할 일이 생겨서 어떻게 할지 많은 고민을 하다가 구름 IDE를 선택하게 되었습니다. 구름 IDE는 웹상에서 다양한 언어의 프로그래밍을 할 수 있고, 결과를 실시간 확인 할 수 있습니다. 또한 바로 URL을 통해 개발한 결과물에 접근 할 수 있으며 SSH, 포트 포워딩등을 지원합니다. 이 모든것들을 현재 무료로 사용할 수 있으며, 유료 결재시 더 높은 컴퓨팅 파워와 저장공간을 제공합니다. 그리고 더욱 놀라운건 문의 사항이 있을때 거의 실시간으로 채팅을 통해 어려움을 해결할 수 있었습니다. 그럼 하나씩 살펴보도록 하겠습니다. 회원가입 저는 회원가입이 복잡한 서비스를 아주 싫어합니다. (다들 그렇겠지만...) 역시 개발 도구 답게 다양한 종류의 SNS로그인을 지원합니다. 따라서 회원가입이 아주 쉽습..

nodejs는 기본적으로 비동기 처리를 한다. 전통적인 프로그래밍 언어만 다뤄봤던 나는 비동기 처리를 이해하는 것이 쉽지 않아 많은 삽질을 했다. 그러던 중 여러개의 api를 호출해서 동기식으로 처리해야되는 문제에 봉착했는데, 그 문제를 해결하기 위해 검색하던중 async.waterfall 을 만나게 됬다. 컴퓨터 공학을 전공한사람이라면 이름도 낯이 익을것이다. 왠지 내 문제를 해결해 줄것 같아 적용했더니 깔끔하게 해결됫다. 1. 설치npm install async 2. 사용법 사용법은 간단하다. waterfall 안에 함수들을 실행할 함수들을 순서대로 정의해주고 마지막에, 최종적으로 처리될 함수에서 결과와 에러처리를 해주면 된다. var async = require('async'); async.wate..

모바일앱 취약점 점검을 위한 Proxy 설정 방법 Wifi 를 이용한 설정wifi 설정 > SSID 선택 > 네트워크 설정 관리 > 고급 옵션 표시 체크 > 프록시 수동 > 프록시 호스트, 포트 설정iptables 를 이용한 설정iptables 를 수정하려면 root 권한이 필요하다.2|shell@zerofltektt:/ $ iptables -t nat -L iptables v1.4.20: can't initialize iptables table `nat': Permission denied (you must be root) Perhaps iptables or your kernel needs to be upgraded. root 권한으로 변경id uid=0(root) gid=0(root) groups=0(..

1. 팀원 구성 - 모의해킹 업무 1명, 관제업무 1명, 기업에서 정보보호를 하다가 지금은 개발을 하고 있는 1명 이렇게 세명으로 구성됫다 - 공격자 입장을 이해할 수 있는 사람과, 관제업무를 하며 방어자에 대한 이해도가 높고 개발을 잘하는사람 사람, 공모전 경험이 많은 사람으로 구성된것이다. - 처음에는 침해사고대응업무를 하는 1명을 같이 하려고 했지만 워낙 공사가 다망하신 분이라 함께 하지 못했다. 2. 예선 제안서 전략 - 예선 제안서는 블라인드로 채점이 되며, 팀원을 추측할 수 있는 어떠한 내용도 들어가선 안된다. 공정성을 위해서 블라인드 심사를 하는것 같았다. - 심사위원은 많지 않을텐데 들어오는 문서를 다보려면 힘들것 같다는 생각이 들어서 제안서에 글은 최대한 적게 적으려고 노력했고, 그림과 ..

제 15회 HDCON 해킹방어대회 참가 후기를 적어보려고 한다. 이 글을 보고 다음 대회에 참여하는 참가자들이 어느정도 도움을 받을 수 있었으면한다. 이번 HDCON 해킹방어 대회는 침해사고 분석 및 대응능력 향상을 목표로 정보보호 분야의 다양한 침해사고 해결책(아이디어) 발굴을 위한 목적으로 진행되었다고 한다. 대회공지 링크 : http://www.kisa.or.kr/notice/notice_View.jsp?cPage=1&mode=view&p_No=4&b_No=4&d_No=2254&ST=T&SV=hdcon 올 하반기 개인적으로 많은 일들이 있었지만, 그중에서도 가장 기억에 남는일이었다. (그만큼 고생도 많이 했다라는 말과 같다.) 대회에 참가하면서 예선 제안서도 내고, 본선도 치뤘지만 제안서나 본선에 ..

1. 컴포넌트 초기 생성 constructor : 컴포넌트 생성자 함수 componentWillMount: 컴포넌트가 화면에 나가기 직전에 호출 componentDidMount: 컴포넌트가 화면에 나타나게 됐을 때 호출 2. 컴포넌트 업데이트 componentWillReceiveProps - 컴포넌트가 새로운 props 를 받게 됐을 때 호출 - getDerivedStateFromProps()로 대체 getDerivedStateFromProps() - props로 받아온 값을 state로 동기화 하는 작업을 해줘야 하는 경우에 사용 shouldComponentUpdate - 컴포넌트가 업데이트 되어야할때 true / false 를 설정하여 render 함수를 호출할지 결정 componentWillUpda..

1. Node.js 설치 curl -o- https://raw.githubusercontent.com/creationix/nvm/v0.33.8/install.sh | bash nvm install --lts npm --version 6.4.1 2. Yarn 설치 brew install yarn 3. Visual Studio Code 설치(IDE) https://code.visualstudio.com/ 4. create-react-app 설치 및 사용 리액트 프로젝트를 쉽게 만들어 주는 도구 - 설치 yarn global add create-react-app yarn global v1.12.1 [1/4] 🔍 Resolving packages... [2/4] 🚚 Fetching packages... [3/4..

취약점 점검을 다니다 보면 아웃바운드 트래픽 차단에 대해 상당한 거부감이 있다. 양방향 Allow 정책이 많거나, 아웃바운드 트래픽은 전체로 오픈되어 있는 경우가 많다. 하지만 실제로 모의해킹을 해보면 아웃바운드 트래픽 차단 정책 하나만으로 상당히 효과적인 공격차단효과를 실감할 수 있다. 방화벽 운영 담당자들의 아웃바운드 차단에 대한 어려움은 기억나는대로 적어보면 다음과같다. 1. 서비스 분석이 안되있다. - 서비스에 아웃바운드 트래픽을 쓸 줄도 모른다는 불안감 - 그 원인은 시스템 서비스시 사용하는 IP/PORT에 대한 정보가 개발부서에서 넘어오지 않음(그들도 분석이 안되있음) 2. 세션에 대한 이해도가 낮다. - 인터넷 서비스를 하는 대역이기 때문에 아웃바운드가 열려있어야 한다. 3. 장애에 대한 막..