Cullinan 로그 #36입니다.

Change log

• Update
  • XSS -> 전체적으로 추가/수정
  • CSRF -> bypass protection 내 예시 추가
  • Click Jacking -> N-click 대한 페이로드 추가 (Multiple frame)
  • Click Jacking -> N-click 대한 페이로드 추가 (Event Handler)
  • Dependency Confusion -> detect 케이스 추가
  • OAST -> Burpsuite 내용 보강
  • OAST -> ZAP 내용 보강
  • OAST -> Cli interaface 추가
  • OAST -> Provider 내용 보강
  • OAST -> HTTP Reaction 추가
  • OAST -> DNS Reaction 추가

Details

XSS

드디어 XSS에 대다수 부분을 정리 완료했습니다 🎉 아직 완벽하게 정리된건 아니지만, 일단 제가 생각했던 부분들을 얼추 다 들어간 것 같습니다. 스크롤이 많이 길어졌긴한데, 앞으로도 점점 더 길어질 예정이니 기대해주세요 :D

OAST

의도한건 아니지만 이번주의 대규모 개선 대상이 되었습니다. 우선 내용 중 보강이 필요한 부분들은 내용을 좀 더 추가하고, DNS Reaction에 대한 내용, 그림 등을 좀 더 추가했습니다.

아무래도 OAST 자체가 Blind 계통의 여러 취약점 식별에 용이하다 보니 자연스럽게 신경이 쓰여진 것 같네요 😊

ClickJacking

기존에는 One-click ClickJacking에 대한 이야기만 작성했었는데, N-click 형태의 페이로드는 어떻게 작성하는지 내용을 좀 더 추가했습니다.

Others

dependency-confusion에서 detect 케이스 추가, csrf에서 bypass 기법을 조금 더 보강했습니다.

Plan?

지금 하나 사이즈가 좀 있는 항목을 작성하려고 합니다. 바로 Metasploit 입니다. 제가 많이 활용했던 도구 중 5 손가락 안에 들어갈 도구긴한데 이제서야 작성하네요. 나름 빌드업으로 올해 봄 동안 오래된 Msf 관련 글들을 다듬고 수정하긴 했습니다. 이제 어느정도 완료되었으니 하나의 위키로 풀어갈 시간이네요 :D