velog s2n

[s2n] OS Command Injection 스캐너 개발 일지

s2n 스캐너에 들어갈 OS Command Injection 스캐너 기능을 개발했습니다. 이 플러그인은 base URL에서 시작해 내부 링크를 재귀 크롤링하고 (HTML 파싱 기반), 발견한 페이지의 파라미터를 자동 추출해 OS Command I...

2025.11.04

velog s2n

[s2n] DVWA Adapter & Selenium 자동 로그인 CLI 구축기

플러그인 기반 웹 취약점 스캐너(PyPI 배포 목표) 프로젝트 s2n의 인증/세션 관리 구조를 통합하기 위한 DVWAAdapter 개발기 🎯 배경 우리 팀(503+1)은 “웹 취약점 스캐너 파이썬 라이브러리”를 개발 중이다. 각 플러그인...

2025.11.03

velog s2n

[s2n] GitHub Actions로 CI/CD 파이프라인 구축하기 (feat. 젠킨스)

Chapter 1 (시행착오) 젠킨스만을 위한 서버를 구축하는 건 우리 프로젝트에 너무 오버스펙이기도 하고, 비용 문제도 있어서 GitHub Actions 위에 Jenkins를 Docker으로 올려서 사용하기로 했다. 항상 프론트엔드 개발만 하다...

2025.11.02

velog s2n

[s2n] Python Package 생성 및 배포 공부

Python을 이용하면서 pip install 명령어를 통해서 패키지를 등록하는 게 국룰. 그럼 이 패키지는 어떻게 만드는 걸까? 그리고 Pip install을 이용해서 파이썬 패키지를 설치하는 것은 어떻게 만들까? 진행과정 PyPI에 접...

2025.10.30

velog s2n

[s2n] PyPI 배포용 Python 패키지 + Jenkins 기반 CI/CD 구조 이해하기

1. 용어 정리 venv 로컬 (혹은 CI)에서 프로젝트 전용 파이썬 가상환경을 만드는 것. 시스템 파이썬과 격리해서 패키지를 설치/관리함. 왜 필요? -> 서로 다른 프로젝트가 서로 다른 버전...

2025.10.30

velog

[Side Project] 🪄 Velog 글을 자동으로 GitHub Pages 블로그로 동기화하기 (with Jekyll + GitHub Actions) + Discord 알림까지 전송하기!

내가 지금까지 작성한 개발 블로그 + 포트폴리오 + 기타 내 소개를 한 곳에서 보여주고 싶어서 Jekyll 블로그를 만들어야겠다는 생각이 들었다. 그리고 Velog에 올린 글이 자동으로 내 개인 블로그(GitHub Pages)에 반영된다면 어떨까...

2025.10.28

velog wargame

[Webhacking.kr] old-12 Javascript challenge

script 생긴 걸 보아하니 원래 코드를 이모트콘으로 대체한 것 같은데… javascript 암호화로 서치해보니까 https://cat-in-136.github.io/2010/12/aadecode-decode-encoded-as-aaencod...

2025.10.27

velog wargame

[Webhacking.kr] old-20 자동 공격 스크립트

문제 자체는 굉장히 단순하다. 닉네임에 무작위, 코멘트에 무작위 값을 넣고, 캡챠 값만 html에서 따와서 복붙해서 이 모든 걸 2초 안에 제출하면 된다. <form name="lv5frm" method="post"> <inp...

2025.10.27

velog kt cloud techup

[KT Cloud TechUp] 파일 업로드 취약점 환경 구현 및 침투 실습

Part 1: Python으로 웹서버에 파일 업로드하기 파일 업로드 취약점의 심각성 - 다른 취약점 10개를 합친 것보다 웹셸 취약점 1개가 더 치명적이다! 이유 - 즉시 시스템 명령어 실행 가능, 파일 시스템 완전 접근, 데이터베이스 직접 조작...

2025.10.23

velog wargame

[Webhacking.kr] old-39

$_POST[‘id’] = str_replace(“\”,””,$_POST[‘id’]); $_POST[‘id’] = str_replace(“’”,”’’”,$_POST[‘id’]); $_POST[‘id’] = substr($_POST[‘id’...

2025.10.23

velog wargame

[Webhacking.kr] old-16

개발자도구에서 확인해 보니까 비교적 쉬워 보인다. 자바스크립트 cd 키워드로 서치해 보니까 100, 97, 118, 115는 wasd를 의미하는 키보드 코드라는 것을 알 수 있었다. (https://blog.outsider.ne.kr/322)...

2025.10.22

velog kt cloud techup

[KT Cloud TechUp] 보안뉴스 크롤링 - requests 사용

지금까지는 selenium을 사용해서 크롤링을 진행했는데, 셀레니움보다 좀 더 빠른 방식인 requests를 사용하는 크롤링 실습을 진행한다. def extract_title_from_html(html_content, idx): try:...

2025.10.22

velog kt cloud techup

[KT Cloud TechUp] expoid_db 데이터 시각화 대시보드 제작

우선은 phpmyadmin에서 테이블을 제작하고 간단한 테스트 데이터들을 넣어두었다. [php란?] 오픈소스 언어로 데이터베이스와 연동이 간편한 언어이다.<?php echo "Hello, World!"; $name = "홍길동"; echo...

2025.10.21

velog wargame

[Webhacking.kr] old-10

O를 goal에 넣으면 될 것 같은 느낌이 드는 문제이다. O에 mouseover/mouseout 속성이 있어 마우스를 올려봤더니 커서를 올려놓으면 O가 yOu로 바뀌는 것을 볼 수 있었다. 그리고 클릭할 때마다 오른쪽으로 조금씩 이동한다. ...

2025.10.20

velog kt cloud techup

[KT Cloud TechUp] exploit-db 크롤링하기

https://www.exploit-db.com/ 이 사이트의 취약점 제목들을 크롤링해 csv 형태로 저장하는 것이 과제였다. 제목 크롤링 1단계 아침 9시라 아무 생각 없이 request로 HTML 받아와서 파싱하는 방법으로 크롤링 하다가 ...

2025.10.20

velog wargame

[Webhacking.kr] old-2

주말동안 https://webhacking.kr/challenge/web-02/를 푸는 것이 과제였다. 사실 지난 주 목요일~금요일부터 찔끔찔끔 해본 것부터 하면 거의 4일? 동안 이 문제만 푼 것 같다… 풀고 풀이 작성은 미뤄뒀다가 이제서야 작...

2025.10.19

velog kt cloud techup

[KT Cloud TechUp] 크롤링 실습 (feat. 정규표현식)

1. IP 주소 확인 사이트에서 현재 컴퓨터의 공인 IP 주소 자동으로 추출하기 from selenium import webdriver url = 'https://ipipip.kr' driver = webdriver.Chrome() drive...

2025.10.16

velog kt cloud techup

[KT Cloud TechUp] xampp mysql 실습 (작성중)

xampp를 다운로드하고 설정하면 이런 컨트롤 패널이 뜬다. 여기서 mysql을 start하고 오른쪽의 shell을 눌러 쉘으로 진입한다. mysql -u root -p를 통해 mysql에 접속한다. 데이터베이스를 생성하고 선택한다. ...

2025.10.15

velog kt cloud techup

[KT Cloud TechUp] CVE-2003-0127 ptrace-kmod 커널 익스플로잇 분석: Race Condition을 이용한 권한 상승 공격

오래된 취약점이긴 하지만 다음과 같은 개념을 학습할 수 있다. Race Condition 공격 커널 권한 상승 기법 ptrace 시스템 콜 악용 프로세스 메모리 조작 취약점 요약 공격자 -> AF_SECURITY 소켓 생...

2025.10.14

velog kt cloud techup

[KT Cloud TechUp] heartbleed 실습

Heartbleed 2014년 4월에 발생한 OpenSSL 버그 CVE-2014-0160 OpenSSL 1.0.1 버전에서 발견된 매우 위험한 취약점. TLS/DTLS의 HeartBeat 확장규격에서 발견된 취약점으로, OpenSSL은 ...

2025.10.14

velog kt cloud techup

[KT Cloud TechUp] NESSUS, Web Shell, Reverse Telnet, OWASP ZAP

NESUS 시스템/네트워크/웹서버/클라우드 환경까지 보안 취약점을 자동으로 점검하고 리포팅해주는 취약점 스캐너 Terrascan by tenable: 정적 코드 분석기. IAC (Infrastructure as Code)의 보안 정책 준수 여...

2025.10.14

velog kt cloud techup

[KT Cloud TechUp] Metasploit 실습 ⭐⭐

이 글은 Kali Linux 환경에서 Metasploit과 nmap을 이용해 네트워크 탐지 → 서비스 확인 → MySQL 관련 열거 및 브루트포스 과정을 실습하는 과정을 기록합니다. 학습 목적의 가상환경에서만 실행했으며, 각 단계별 명령·출력·...

2025.10.13

velog

[KT Cloud TechUp] nmap

nmap이란? 네트워크 보안 진단/관리를 위해 사용되는 도구 네트워크에 연결된 호스트/서비스 탐색 + 보안 취약점 사전 점검 live host의 list 제공 열려있는 포트 탐색 OS scanning 실습 kali에서 nmap -sn 192....

2025.10.13

velog

[KT Cloud TechUp] AWS KMS / S3 / Kinesis / SHIELD

KMS Key Management Service 개발을 하다 보면 환경변수/설정 파일에 비밀번호, API 키, DB 비밀번호 등 중요한 데이터를 넣어야 하는 경우가 있음 여러 명과 협업하거나 배포 실수하여 보안 관련 문제 발생하는 경우가 많음 ...

2025.10.13

velog

[기타] Splunk SIEM

SIEM을 구성하는 대표적인 방법은 AWS이다. 하지만 클라우드 내부 서비스가 아닌 외부 SIEM으로 Splunk, Datadog도 존재한다. Splunk는 machine data를 수집/저장/검색/시각화해서 운영 상태를 분석하고 보안 위협을 ...

2025.10.13

velog

[기타] 웹 취약점 스캔 도구 Acunetix

실습용으로 구축한 DVWA를 스캔 돌려보았따 SQL Injection 취약점은 없는 것으로 보인다. 워게임 사이트들에도 돌려보고 싶지만 스캔 자체가 DoS의 공격을 띄고 있다고 해서... 나중에 칼리에 환경을 구축해서 제대로 스캔해봐야 할 것...

2025.10.12