Q
QueryPie
February 6, 20251회
QueryPie gRPC 통신을 위한 DAST 보안 전략 : ZAP 커스텀 스크립트 적용 사례
간단 소개
QueryPie는 gRPC 통신 환경에서 DAST 취약점 진단의 어려움을 ZAP 커스텀 스크립트로 자동화하여 효율적인 보안 전략을 구축했습니다.
AI Summary
- gRPC 통신과 취약점 진단의 어려움
- QueryPie는 고성능 gRPC 통신을 사용하나, HTTP/2 바이너리 포맷과 Protobuf로 인해 기존 DAST 도구의 분석이 어렵습니다.
- 일반 프록시 도구는 gRPC 데이터 인코딩/디코딩을 지원하지 않아 수동 진단에 많은 시간과 노력이 필요합니다.
- ZAP 커스텀 스크립트를 활용한 해결책
- ZAP의 커스텀 스크립트로 gRPC POST 요청 데이터 디코딩, 공격 페이로드 삽입, 재인코딩 및 전송을 자동화합니다.
- grpc-pentest-suite 스크립트를 ZAP에 통합하여 인코딩/디코딩을 자동화하고, SQL Injection 등 취약점 탐지 조건을 정의해 알림을 발생시킵니다.
- QueryPie의 보안 전략 및 기대 효과
- QueryPie는 ZAP 커스텀 스크립트를 통해 gRPC 기반 제품의 보안 취약점 식별, 분석, 관리를 자동화하여 DevSecOps 파이프라인을 강화합니다.
- 이는 보안 담당자의 효율성을 높이고, CI/CD 내 gRPC DAST 스캔 정확도를 향상시켜 잠재적 보안 리스크를 예방합니다.
Next Feeds
물류의 물짜도 모르던 OMS PM의 OMS 구축기
컬리 OMS PM의 OMS 구축 여정을 담은 글. 시스템 이해, 기능 개발, 자동화, 그리고 최종 목표인 CAPA 수립 자동화까지의 과정을 소개한다.
OMS컬리물류자동화CAPA
2025. 2. 5.
컬리
2025년 웹 개발 핵심 트렌드 5가지
2025년 웹 개발은 AI, JAMstack, Utility-First CSS, WebAssembly, VUI 중심으로 발전하며 개발 효율성과 사용자 경험을 향상시킬 것이다.
웹 개발AI 개발 도구JAMstackWebAssemblyVUI
2025. 2. 5.
인포그랩
MapKit을 활용한 위치 기반 서비스를 개발하며 겪은 시행착오
카카오페이 iOS 개발자가 MapKit을 활용한 위치 기반 서비스 개발 경험을 공유하고, 겪었던 문제점과 해결 방안을 제시합니다.
MapKitCoreLocationGeocodingCLPlacemark위치 기반 서비스
2025. 2. 4.
카카오페이
![[Hands-On] 비용관리 및 절감을 위한 Amazon CID(Cloud Intelligence Dashboards) 구축 실습](https://blog.kico.co.kr/wp-content/uploads/2025/02/image-1024x601.png)
[Hands-On] 비용관리 및 절감을 위한 Amazon CID(Cloud Intelligence Dashboards) 구축 실습
AWS CID 대시보드 구축 실습을 통해 비용 관리 및 절감 방안을 모색하고, QuickSight를 활용하여 데이터 시각화 및 분석을 수행합니다.
AWSCIDQuickSight비용 관리대시보드
2025. 2. 4.
교보dts
SSO, 왜 그렇게 중요할까요?
SSO의 중요성, 도입 방안(SaaS/On-Prem), 주요 서비스 유형 및 QueryPie의 SSO 지원 현황을 설명합니다.
SSO보안생산성SaaSSAML
2025. 2. 4.
QueryPie
SSO, 왜 그렇게 중요할까요?
SSO는 생산성 향상과 보안 강화에 필수적이며, SaaS 방식 도입을 통해 효율적인 시스템 구축이 가능하다. QueryPie는 SAML 2.0과 LDAP 기반 SSO를 지원한다.
SSOSAML 2.0LDAPOktaCredential
2025. 2. 4.
QueryPie