Cullinan 로그 #36입니다.
Change log
- Update
- XSS -> 전체적으로 추가/수정
- CSRF -> bypass protection 내 예시 추가
- Click Jacking -> N-click 대한 페이로드 추가 (Multiple frame)
- Click Jacking -> N-click 대한 페이로드 추가 (Event Handler)
- Dependency Confusion -> detect 케이스 추가
- OAST -> Burpsuite 내용 보강
- OAST -> ZAP 내용 보강
- OAST -> Cli interaface 추가
- OAST -> Provider 내용 보강
- OAST -> HTTP Reaction 추가
- OAST -> DNS Reaction 추가
Details
XSS
드디어 XSS에 대다수 부분을 정리 완료했습니다 🎉 아직 완벽하게 정리된건 아니지만, 일단 제가 생각했던 부분들을 얼추 다 들어간 것 같습니다. 스크롤이 많이 길어졌긴한데, 앞으로도 점점 더 길어질 예정이니 기대해주세요 :D
OAST
의도한건 아니지만 이번주의 대규모 개선 대상이 되었습니다. 우선 내용 중 보강이 필요한 부분들은 내용을 좀 더 추가하고, DNS Reaction에 대한 내용, 그림 등을 좀 더 추가했습니다.
아무래도 OAST 자체가 Blind 계통의 여러 취약점 식별에 용이하다 보니 자연스럽게 신경이 쓰여진 것 같네요 😊
ClickJacking
기존에는 One-click ClickJacking에 대한 이야기만 작성했었는데, N-click 형태의 페이로드는 어떻게 작성하는지 내용을 좀 더 추가했습니다.
Others
dependency-confusion에서 detect 케이스 추가, csrf에서 bypass 기법을 조금 더 보강했습니다.
Plan?
지금 하나 사이즈가 좀 있는 항목을 작성하려고 합니다. 바로 Metasploit 입니다. 제가 많이 활용했던 도구 중 5 손가락 안에 들어갈 도구긴한데 이제서야 작성하네요. 나름 빌드업으로 올해 봄 동안 오래된 Msf 관련 글들을 다듬고 수정하긴 했습니다. 이제 어느정도 완료되었으니 하나의 위키로 풀어갈 시간이네요 :D