최근 dalfox에 독특한 이슈가 제보됬는데(오프라인으로도 한번 제보받은 사항이라 이미 삽질을 좀 헀던 상태였네요) 오늘 이를 해결하고 어떻게 해결했는지 간략하게 공유할까 합니다. 특별한 내용은 아니지만, golang에서 http 기반 개발을 진행할 때 알고 있으면 실수를 예방할 수 있는 부분이죠.

최근 ZAP의 Extension 중 selenium 관련 업데이트가 있었습니다. 무심히 Change 내용을 봤다가 “Support for browser extension” 문구를 보자마자 반가운 마음에 바로 글 작성을 시작헀죠 😎

Response 변조는 인증 절차나 비즈니스 로직을 우회할 때 자주 사용되는 공격 방법 중 하나입니다. 보통은 proxy로 요청을 잡아 직접 response를 수정하여 continue 하는 형태로 테스트를 진행합니다.

컬리넌 업데이트 로그 #23입니다 😎

컬리넌 업데이트 로그 #22입니다. Web Cache Deception과 Dependency Confusion Attack이 추가되었습니다.

Wow! Dalfox 2.6.0 has finally been released! This time, I improved the focus on Result and PoC object. and a new global flag called –poc-type was added. Let’s play it quickly 😎

Hugo에서 aliases를 사용하면 해당 주소는 meta tag를 이용한 redirect를 페이지가 생성됩니다. 이러한 형태는 일반적으로 url을 이동하기엔 적합하지만, 30x의 status code가 아니고 200이기 때문에 구글 등 검색 봇이 해당 페이지를 수집하게 됩니다.

golang으로 개발된 앱은 pkg.go.dev에 저장되며 해당 사이트를 통해 패키지 정보를 볼 수 있고 실제 go get 으로 패키지를 가져올 때 이곳의 latest 버전을 가져오게 됩니다. 그래서 이 사실을 잘 몰랐던 과거의 저는 이런 실수도 했었던 기억이 나네요.

Kubernetes에서 nginx-ingress를 사용한다면 파일 업로드 등 큰 데이터를 전송할 때 413 Request Entity Too Large 에러가 발생할 수 있습니다. 이는 nginx-ingress에서 기본적으로 가지고 있는 최대 body size가 크지 않게 추가되어 있어서 발생하는 문제로 아래와 같이 ingress의 annotation을 설정하여 해결할 수 있습니다.

During the test, I found that POST-based scanning(active-scan / quick-scan) was not working in zap-cli 😱 This problem is zap-cli issue, and it has already been reported as an issue below.