보안 연구 및 침투 테스트 시 지식 파편화 문제를 해결하는 hack-skills 오픈소스 라이브러리

보안 연구 (Security research)나 침투 테스트 (Penetration testing)를 수행할 때 가장 답답한 점은 기술 그 자체가 아니라, 지식이 너무 파편화되어 있다는 것입니다.

취약점 유형 (Vulnerability types), 공격 기법 (Exploitation techniques), 우회 기술 (Bypass tricks) 등이 다양한 위키 (Wiki)와 노트에 흩어져 있어, 매번 이를 찾아내는 데 엄청난 시간이 소요됩니다.

그래서 저는 AI 에이전트 (AI Agents)를 위해 특별히 설계된, 보안 공격 및 방어 지식을 검색 가능하고 조합 가능한 101개의 기술 카드 (Skill cards)로 체계적으로 정리한 hack-skills라는 오픈소스 기술 라이브러리를 발견했습니다.

하나의 주요 진입점과 6개의 카테고리 진입점을 제공하여 필요에 따라 특정 기술을 깊이 있게 탐구할 수 있습니다. 마치 사전을 찾는 것처럼, 대상의 증상에 따라 해당하는 공격 기법을 직접 찾아낼 수 있습니다.

GitHub:
http://github.com/yaklang/hack-skills

...

이 라이브러리는 일반적인 인젝션 공격 (Injection attacks) 및 인증 우회 (Authentication bypasses)부터 내부망 침투 (Intranet penetration), 바이너리 취약점 공격 (Binary vulnerability exploitation), 스마트 컨트랙트 감사 (Smart contract auditing), 그리고 거대 모델 프롬프트 인젝션 (Large model prompt injection)에 이르기까지 14개의 보안 도메인을 다룹니다.

각 기술은 단순히 복사해서 붙여넣은 것이 아니라, 공개된 리소스에서 추출한 방법론 (Methodology)입니다.

또한 온라인 검색 웹사이트, 오프라인 암호화 압축 패키지, 그리고 원클릭 명령줄 인터페이스 (CLI) 설치라는 세 가지 사용 옵션을 제공하므로, 네트워크가 연결되지 않은 환경에서도 작동합니다.

AI를 사용하여 보안 테스트를 보조하고 있다면, 이 기술 지식 베이스 (Skill knowledge base)를 나중에 사용할 수 있도록 북마크해 둘 가치가 있습니다.