의미없는 블로그

보호되어 있는 글입니다.

.aspx.cs 에 입력 파라미터(Request)들 있다.aspx 에 출력 파라미터(파라미터 한개만 붙이면 500 에러 난다파라미터 3개 이상 붙여야 200 OK 뜸그러니까 안된다고 끄지말고여러개 붙여보라고

보호되어 있는 글입니다.

보호되어 있는 글입니다.

동적진단 / 정적진단 동적은 실제 패킷 레벨에서 exploit 가능성을 찾아내는 것정적은 소스코드 레벨에서 취약점을 찾아내는 것 실제 발현 가능한 취약점만 찾으면 되지 왜 정적 진단 해야하냐?  약간 관점이 다르다정적진단은 코드상의 Best Practice 를 찾아서이걸로 회사의 거버넌스를 만들어 가는데 초점을 둔다그래서 점진적으로 회사의 자산(소스코드)을 안정화 해가는 느낌? 글고 동적은 서비스마다 보통 2~3일, 사이즈 큰거는 1~2주도 걸리자나근데 sast 는 매일 돌릴 수 있으니까아니면 신규 소스 배포될 때마다 돌리던지빠르고 대규모로 사용 가능하다는것이 장점이다 (sast 안쓰고 직접 소스코드 진단하면 빠르진 않겠지..그래도 점진적으로 소스코드를 안정화 해갈 수 있다는점에서동적진단과 차이가 있다고..

https://github.com/hi8544/test2요 레포로 테스트 할거임 프로젝트 등록할 때 깃허브 로긴하면레포 지정할 수 있음스캔 트리거를 지정하면Push, Pull request 이벤트 발생할때마다 스캔 하나봄(Push 는 소스 올리는거, Pull request 는 소스 올렸다고 다른 사용자에게 알리는거)그래서 깃허브 Webhooks 에 체크막스가 추가됨xss_login.php 에SQL Injection 으로 잡혔는데제대로 고친건 아닌데걍 대충 이렇게 고치고 푸시하면스캔 자동으로 다시 돌아가고SQL Injection 취약점 없어짐VSCode 랑 체크막스 연동하면 (API 키 있어야 됨)요렇게 VSCode 에서 스캔 결과 바로 확인 가능함AI Security Champion 기능 사용하면 (지피..

깃허브 계정 만들고Repositories > New 로 레파지토리 생성vscode 에서 Clone Repository 해서만든거랑 연결해작업할 폴더 하나 지정해주면폴더 하위에 레파지토리 생성됨여기다가 소스코드 작성해그러면 vscode 에 반영됨메시지 꼭 쓰고 Commit 해Sync Changes ㄱㄱ소스코드 올라감

sudo apt-get install python3-pip 하고 다시하면 됨