From 21d108d072414bb81fd10a76dd96f27c4be4022d Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Tue, 7 Jan 2025 18:28:31 +0000
Subject: [PATCH] Translated
 ['src/network-services-pentesting/pentesting-web/electron-des

---
 .../electron-desktop-apps/README.md           | 34 +++++++++----------
 1 file changed, 17 insertions(+), 17 deletions(-)

diff --git a/src/network-services-pentesting/pentesting-web/electron-desktop-apps/README.md b/src/network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
index 5c78fa8ee..63736dff8 100644
--- a/src/network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
+++ b/src/network-services-pentesting/pentesting-web/electron-desktop-apps/README.md
@@ -32,7 +32,7 @@ let win = new BrowserWindow()
 //Open Renderer Process
 win.loadURL(`file://path/to/index.html`)
 ```
-**렌더러 프로세스**의 설정은 **main.js** 파일의 **메인 프로세스**에서 **구성**할 수 있습니다. 일부 구성은 **설정이 올바르게 구성된 경우** Electron 애플리케이션이 RCE 또는 기타 취약점에 노출되는 것을 **방지**합니다.
+**렌더러 프로세스**의 설정은 **main.js** 파일 내의 **메인 프로세스**에서 **구성**할 수 있습니다. 일부 구성은 **설정이 올바르게 구성된 경우** Electron 애플리케이션이 RCE 또는 기타 취약점에 노출되는 것을 **방지**합니다.
 
 Electron 애플리케이션은 Node API를 통해 **장치에 접근할 수 있지만**, 이를 방지하도록 구성할 수 있습니다:
 
@@ -42,7 +42,7 @@ Electron 애플리케이션은 Node API를 통해 **장치에 접근할 수 있
 - [**`sandbox`**](https://docs.w3cub.com/electron/api/sandbox-option) - 기본값은 꺼져 있습니다. NodeJS가 수행할 수 있는 작업을 제한합니다.
 - 워커에서의 Node 통합
 - **`nodeIntegrationInSubframes`** - 기본값은 꺼져 있습니다.
-- **`nodeIntegration`**이 **활성화**되면, 이는 Electron 애플리케이션 내의 iframe에 **로드된 웹 페이지에서 Node.js API**를 사용할 수 있게 합니다.
+- **`nodeIntegration`**이 **활성화**되면, 이는 Electron 애플리케이션 내의 **iframe에 로드된 웹 페이지에서 Node.js API**를 사용할 수 있게 합니다.
 - **`nodeIntegration`**이 **비활성화**되면, 프리로드는 iframe에서 로드됩니다.
 
 구성 예시:
@@ -97,7 +97,7 @@ onerror="alert(require('child_process').execSync('uname -a').toString());" />
 ```
 ### 트래픽 캡처
 
-start-main 구성을 수정하고 다음과 같은 프록시 사용을 추가하세요:
+start-main 구성을 수정하고 다음과 같은 프록시 사용을 추가합니다:
 ```javascript
 "start-main": "electron ./dist/main/main.js --proxy-server=127.0.0.1:8080 --ignore-certificateerrors",
 ```
@@ -123,7 +123,7 @@ top.require("child_process").exec("open /System/Applications/Calculator.app")
 
 ## RCE: preload
 
-이 설정에서 표시된 스크립트는 **렌더러의 다른 스크립트보다 먼저 로드되므로**, **Node API에 무제한으로 접근할 수 있습니다**:
+이 설정에서 언급된 스크립트는 **렌더러의 다른 스크립트보다 먼저 로드**되므로 **Node API에 무제한으로 접근**할 수 있습니다:
 ```javascript
 new BrowserWindow{
 webPreferences: {
@@ -192,7 +192,7 @@ Electron 데스크탑 애플리케이션을 배포할 때 `nodeIntegration` 및
 webContents.on("new-window", function (event, url, disposition, options) {}
 webContents.on("will-navigate", function (event, url) {}
 ```
-이 리스너는 **데스크탑 애플리케이션에 의해 재정의되어** 자체 **비즈니스 로직**을 구현합니다. 애플리케이션은 탐색된 링크가 내부에서 열려야 하는지 또는 외부 웹 브라우저에서 열려야 하는지를 평가합니다. 이 결정은 일반적으로 `openInternally`라는 함수를 통해 이루어집니다. 이 함수가 `false`를 반환하면 링크가 외부에서 열려야 함을 나타내며, `shell.openExternal` 함수를 사용합니다.
+이 리스너는 **데스크탑 애플리케이션에 의해 재정의되어** 자체 **비즈니스 로직**을 구현합니다. 애플리케이션은 탐색된 링크가 내부에서 열려야 하는지 또는 외부 웹 브라우저에서 열려야 하는지를 평가합니다. 이 결정은 일반적으로 `openInternally`라는 함수를 통해 이루어집니다. 이 함수가 `false`를 반환하면, 링크가 외부에서 열려야 함을 나타내며, `shell.openExternal` 함수를 사용합니다.
 
 **여기 간단한 의사코드가 있습니다:**
 
@@ -226,7 +226,7 @@ window.open(
 ```
 ## 내부 파일 읽기: XSS + contextIsolation
 
-**`contextIsolation` 비활성화는 `<webview>` 태그의 사용을 가능하게 하여**, `<iframe>`과 유사하게 로컬 파일을 읽고 유출할 수 있습니다. 제공된 예시는 이 취약점을 이용하여 내부 파일의 내용을 읽는 방법을 보여줍니다:
+**`contextIsolation`을 비활성화하면 `<webview>` 태그를 사용할 수 있습니다**, `<iframe>`과 유사하게, 로컬 파일을 읽고 유출하는 데 사용됩니다. 제공된 예시는 이 취약점을 이용하여 내부 파일의 내용을 읽는 방법을 보여줍니다:
 
 ![](<../../../images/1 u1jdRYuWAEVwJmf_F2ttJg (1).png>)
 
@@ -249,7 +249,7 @@ frames[0].document.body.innerText
 ## **RCE: XSS + Old Chromium**
 
 애플리케이션에서 사용되는 **chromium**이 **오래된** 경우, **알려진** **취약점**이 있을 수 있으며, 이를 **악용하여 XSS를 통해 RCE를 얻을 수** 있습니다.\
-이 **writeup**에서 예제를 볼 수 있습니다: [https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)
+이 **writeup**에서 예를 볼 수 있습니다: [https://blog.electrovolt.io/posts/discord-rce/](https://blog.electrovolt.io/posts/discord-rce/)
 
 ## **XSS Phishing via Internal URL regex bypass**
 
@@ -260,9 +260,9 @@ XSS를 발견했지만 **RCE를 트리거하거나 내부 파일을 훔칠 수 
 webContents.on("new-window", function (event, url, disposition, options) {} // opens the custom openInternally function (it is declared below)
 webContents.on("will-navigate", function (event, url) {}                    // opens the custom openInternally function (it is declared below)
 ```
-**`openInternally`** 호출은 **링크**가 플랫폼에 속하는 링크인지에 따라 **데스크탑 창**에서 **열릴지** 또는 **브라우저에서 3rd 파티 리소스**로 열릴지를 결정합니다.
+**`openInternally`** 호출은 **링크**가 플랫폼에 속하는 링크이기 때문에 **데스크탑 창**에서 **열릴지** 아니면 **브라우저에서 3자 리소스**로 열릴지를 결정합니다.
 
-함수가 사용하는 **정규 표현식**이 **우회 공격에 취약한 경우** (예: **서브도메인의 점을 이스케이프하지 않는 경우**) 공격자는 XSS를 악용하여 **새 창을 열 수 있으며**, 이 창은 공격자의 인프라에 위치하여 **사용자에게 자격 증명을 요청**할 수 있습니다:
+함수가 사용하는 **정규 표현식**이 **우회 공격에 취약한 경우** (예: **서브도메인의 점을 이스케이프하지 않는 경우**) 공격자는 XSS를 악용하여 **새 창을 열 수 있습니다**. 이 창은 공격자의 인프라에 위치하며 **사용자에게 자격 증명을 요청**합니다:
 ```html
 <script>
 window.open("<http://subdomainagoogleq.com/index.html>")
@@ -273,12 +273,12 @@ window.open("<http://subdomainagoogleq.com/index.html>")
 Electron Remote 모듈은 **렌더러 프로세스가 메인 프로세스 API에 접근할 수 있도록** 하여 Electron 애플리케이션 내에서의 통신을 용이하게 합니다. 그러나 이 모듈을 활성화하면 상당한 보안 위험이 발생합니다. 애플리케이션의 공격 표면이 확장되어 교차 사이트 스크립팅(XSS) 공격과 같은 취약점에 더 취약해집니다.
 
 > [!TIP]
-> **remote** 모듈이 메인에서 렌더러 프로세스로 일부 API를 노출하지만, 구성 요소를 남용하는 것만으로 RCE를 얻는 것은 간단하지 않습니다. 그러나 구성 요소는 민감한 정보를 노출할 수 있습니다.
+> **remote** 모듈이 메인에서 렌더러 프로세스로 일부 API를 노출하지만, 구성 요소를 단순히 악용하는 것만으로 RCE를 얻는 것은 간단하지 않습니다. 그러나 구성 요소는 민감한 정보를 노출할 수 있습니다.
 
 > [!WARNING]
-> 여전히 remote 모듈을 사용하는 많은 앱은 렌더러 프로세스에서 **NodeIntegration을 활성화해야** 하는 방식으로 사용하며, 이는 **엄청난 보안 위험**입니다.
+> 여전히 remote 모듈을 사용하는 많은 앱은 렌더러 프로세스에서 **NodeIntegration을 활성화해야** 하는 방식으로 구현되어 있으며, 이는 **엄청난 보안 위험**입니다.
 
-Electron 14부터 Electron의 `remote` 모듈은 보안 및 성능 이유로 여러 단계에서 활성화될 수 있으며, **사용하지 않는 것이 권장됩니다**.
+Electron 14부터 `remote` 모듈은 보안 및 성능 이유로 여러 단계에서 활성화될 수 있으며, **사용하지 않는 것이 권장됩니다**.
 
 활성화하려면, 먼저 **메인 프로세스에서 활성화해야** 합니다:
 ```javascript
@@ -312,14 +312,14 @@ The **[blog post](https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html
 - **`app.setJumpList(categories)`**
 - **Windows**에서 **사용자 지정 점프 목록**을 **설정**하거나 **제거**합니다. 사용자가 작업이 표시되는 방식을 조직하기 위해 **카테고리**를 지정할 수 있습니다.
 - **`app.setLoginItemSettings(settings)`**
-- **로그인** 시 어떤 **실행 파일**이 **옵션**과 함께 시작되는지를 **구성**합니다(맥OS 및 Windows 전용).
+- **로그인** 시 실행되는 **실행 파일**과 그 **옵션**을 **구성**합니다(맥OS 및 Windows 전용).
 ```javascript
 Native.app.relaunch({args: [], execPath: "/System/Applications/Calculator.app/Contents/MacOS/Calculator"});
 Native.app.exit()
 ```
 ## systemPreferences 모듈
 
-Electron에서 시스템 기본 설정에 접근하고 시스템 이벤트를 발생시키기 위한 **주요 API**입니다. **subscribeNotification**, **subscribeWorkspaceNotification**, **getUserDefault**, **setUserDefault**와 같은 메서드는 모두 이 모듈의 **일부**입니다.
+Electron에서 시스템 기본 설정에 접근하고 **시스템 이벤트를 발생시키는** **주요 API**입니다. **subscribeNotification**, **subscribeWorkspaceNotification**, **getUserDefault**, 및 **setUserDefault**와 같은 메서드는 모두 이 모듈의 **일부입니다**.
 
 **사용 예:**
 ```javascript
@@ -338,7 +338,7 @@ console.log('Recent Places:', recentPlaces);
 
 * **네이티브 macOS 알림**을 NSDistributedNotificationCenter를 사용하여 **청취**합니다.
 * **macOS Catalina** 이전에는 CFNotificationCenterAddObserver에 **nil**을 전달하여 **모든** 분산 알림을 스니핑할 수 있었습니다.
-* **Catalina / Big Sur** 이후, 샌드박스 앱은 **이름으로** 알림을 등록하여 여전히 **많은 이벤트**(예: **화면 잠금/해제**, **볼륨 마운트**, **네트워크 활동** 등)에 **구독**할 수 있습니다.
+* **Catalina / Big Sur** 이후, 샌드박스 앱은 **이름**으로 알림을 등록하여 여전히 **많은 이벤트**(예: **화면 잠금/해제**, **볼륨 마운트**, **네트워크 활동** 등)에 **구독**할 수 있습니다.
 
 ### **getUserDefault / setUserDefault**
 
@@ -348,11 +348,11 @@ console.log('Recent Places:', recentPlaces);
 
 * **setUserDefault**는 이러한 기본 설정을 **수정**할 수 있으며, 이는 앱의 **구성**에 영향을 미칠 수 있습니다.
 
-* **구버전 Electron**(v8.3.0 이전)에서는 NSUserDefaults의 **표준 모음**만 **접근 가능**했습니다.
+* **구버전 Electron**(v8.3.0 이전)에서는 NSUserDefaults의 **표준 스위트**만 **접근 가능**했습니다.
 
 ## Shell.showItemInFolder
 
-이 함수는 주어진 파일을 파일 관리자에서 보여주며, **파일을 자동으로 실행할 수 있습니다**.
+이 함수는 주어진 파일을 파일 관리자에서 보여주며, 이는 **파일을 자동으로 실행할 수 있습니다**.
 
 자세한 정보는 [https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html](https://blog.doyensec.com/2021/02/16/electron-apis-misuse.html)에서 확인하세요.