Blog Posts

파일[데이터] 크롤링시 사소한 팁들 (feat.삽질기)

저는 2019년 DEFCON DEMO LABS에서 안드로이드 앱의 클라우드 백엔드 취약점 분석도구 soFrida를 발표한 바 있습니다.  [링크 바로가기] 발표를 준비하면서 취약점을 증명하기 위해 구글 플레이스토어 160개국에서 가장 인기있는 앱들을 선별하였고, 설치파일(APK)을 수집하여 분석을 수행하였습니다. 물론 대부분의 과정들은 파이썬을 통해 자동화를 시켰으나, 분석에는 엄청난 노가다가 수반되었습니다. 이 부분에 대해서는 나중에 따로 글을 써 볼까 합니다. [ 함께해서 더러웠고 다시는 만나지 말자? ] 오늘은 파일 또는 데이터를 크롤링할때의 사소한 팁에 대해서 몇가지 소개해볼까 합니다. 제목은 팁이라고 적었지만 사실은 여러번의 삽질끝에 깨달은 “실수방지 팁”에 가깝습니다. 데이터를 좀 수집해보신 분이라면 아니 저런 말도 안되는 실수를 했다고? 라고 생각할 수 있으나 저는 전문적인 개발자도 아니었고, 취약점 … Read More

Continue Reading

[번역] OWASP API Security Top 10

https://apisecurity.io/encyclopedia/content/owasp/owasp-api-security-top-10.htm 본 문서는 “OWASP API Security Top 10″으로 게시된 내용을 번역한 내용입니다.개인적인 연구목적으로 작성하였으며 출처를 표기하신 후에 인용을 부탁드립니다. 오역이 발생할 여지가 있는 부분은 영어 그대로 표기하였으며, 번역자 의견의 경우 녹색으로 표시하였습니다. Web application security vs API security REST API와 Web Application 간에는 유사점이 많지만, 근본적인 차이점도 있습니다. 전통적인 Web Application에서는 데이터 프로세싱이 서버사이드에서 이루어지며, 프로세싱 결과는 클라이언트 브라우저로 전송된 후 렌더링되어 표시됩니다. 이러한 이유로 인해 비즈니스상 네트워크 아키텍쳐에 대한 진입점 (사용자 접점)은 상대적으로 적으며 WAF(웹방화벽)과 같은 장비를 서버 앞단에 설정함으로써 공격을 직관적으로 방어할 수 있었습니다. 그러나 최신 API기반의 어플리케이션은 상황이 아주 다릅니다. 점점 더 많은 UI들이 어플리케이션의 기능을 제공하기 … Read More

Continue Reading

대학원 논문 일기를 시작하며

대학원 전체 과정의 절반을 지나왔다.  2학기동안 (파트타임 치곤) 많은 수업을 수강해 둔 덕분에 올해 (내년이라 썼다가 고침, 벌써 1월 중순인가) 에는 논문에 좀 더 집중할 수 있을 것으로 보인다. 파트 타임 대학원생은 풀 타임 대비 연구에 투자할 수 있는 시간이 절대적으로 부족하다. 이 팩트 자체를 우선 인정하고 갈 필요가 있다. 좋은 논문을 작성하고 싶은 욕심은 크지만 그렇다고 무리하게 하루에 2시간만 자면서 풀 타임 연구원을 따라가고자 하는 것은 어리석은 짓이다. 무엇보다 대학원의 목표 자체가 “풀 타임 학생만큼 하겠다”는 아니기 때문이다. 따라서 파트타임 대학원생은 전략적으로 논문을 준비할 필요가 있다고 생각한다. 논문 주제도 최대한 실무 경험을 바탕으로 선정하고, 준비 과정에서도 회사 동료들의 의견을 … Read More

Continue Reading

버그는 뜻하지 않게 찾아온다 – 카카오뱅크 취약점 제보 후기

공인인증서나 보안 프로그램과 같은 발암(?)물질이 전혀 포함되지 않아 엄청난 인기를 얻고 있는 카카오뱅크의 취약점을 찾아 지난 8월에 제보하였다. 사실 기술적으로는 굉장히 별거 없는 (화려한 익스플로잇 따위는 1도 포함 안된) 취약점이긴 하나 그것을 찾기 위한 과정은 꼭 한번 소개를 하고 싶었다. 우리의 일상속에서 쉽게 지나칠 수 있는 것들을 유심히 살펴보는 것 만으로 도 버그를 찾을 수 있다는 것을 말해보고자 한다. 슬램덩크에 보면 송태섭의 도움을 받아 강백호가 엘리우프를 성공시켜  기선을 잡는 장면이 있는데 이후 상대팀의 에이스인 정우성(맞나?)이 매우 평범한 점프슛을 넣은 후 다음과 같은 명언을 남겼더랬다. “같은 2점이다” 즉 엄청난 시간의 분석과 리버싱, 익스플로잇을 통해 취약점을 찾는것도 하나의 방법이지만, 일상을 소소하게 관찰하거나, 평소 습관처럼 사용하던 … Read More

Continue Reading

Site Footer