Penetration Testing

executing-red-team-exercise는 현실적인 레드팀 훈련을 기획하고 추적하는 데 쓰는 사이버보안 스킬입니다. 정찰, 기법 선정, 실행, 탐지 공백 검토까지 공격자 모사를 지원해 보안 감사 작업과 ATT&CK 정렬 평가에 유용합니다.

공개 소스인 DNS, crt.sh, Shodan, GitHub, 유출 데이터 등을 활용해 수동 외부 풋프린팅, 공격 표면 매핑, 보안 감사 준비를 돕는 conducting-external-reconnaissance-with-osint 스킬입니다. 승인된 정찰 작업을 위해 설계되었으며, 명확한 범위 통제, 출처 분리, 실용적인 조사 결과를 중시합니다.

conducting-cloud-penetration-testing는 AWS, Azure, GCP 전반에서 승인된 클라우드 보안 점검을 계획하고 수행하는 데 도움을 줍니다. IAM 오구성, 메타데이터 노출, 공개 리소스, 권한 상승 경로를 찾아낸 뒤, 결과를 보안 감사 보고서로 정리할 수 있습니다. Security Audit 워크플로에서 conducting-cloud-penetration-testing 스킬을 사용할 때 잘 맞습니다.

conducting-api-security-testing는 권한을 부여받은 테스터가 OWASP API Security Top 10 워크플로를 활용해 REST, GraphQL, gRPC API의 인증, 인가, 속도 제한, 입력 검증, 비즈니스 로직 취약점을 점검할 수 있도록 돕습니다. 구조화된 증거 기반 API 보안 테스트와 보안 감사 검토에 적합합니다.

analyzing-ios-app-security-with-objection 스킬은 승인된 테스트 담당자가 Objection과 Frida를 사용해 iOS 앱의 런타임 보안 점검을 수행하도록 돕습니다. Security Audit 과정에서 키체인 노출, 파일시스템 저장, 쿠키, SSL 핀닝, 탈옥 탐지, 기타 클라이언트 측 방어 요소를 검토할 때 유용합니다. 워크플로 가이드, 설치 단계, 실용적인 사용 노트가 포함되어 있습니다.

analyzing-cyber-kill-chain은 침입 활동을 Lockheed Martin Cyber Kill Chain에 매핑해, 무엇이 일어났는지, 방어가 어디서 버텼고 어디서 실패했는지, 그리고 어떤 통제가 공격을 더 일찍 막을 수 있었는지를 보여줍니다. 사고 대응, 탐지 공백 분석, 그리고 Threat Intelligence용 analyzing-cyber-kill-chain 분석에 유용합니다.

ffuf-web-fuzzing은 숨겨진 웹 콘텐츠를 찾고, 경로와 파라미터를 테스트하며, 원시 요청, 자동 보정, 결과 분석으로 인증된 대상을 퍼징하는 실용적인 스킬입니다. 침투 테스트와 Security Audit 워크플로우에서 반복해서 쓸 수 있는 ffuf-web-fuzzing 가이드가 필요한 보안 테스터에게 잘 맞습니다.