컬리넌 업데이트 로그 #16입니다. ZIP Slip과 HTTP Parameter Pollution에 대한 내용을 추가했습니다. 그리고 HTTP2 H2C Smuggling의 Tools 부분에 도구 추가로 수정이 있었습니다.

최근에 ZAP의 2가지 기능에 대해 이야기를 드렸었습니다. 바로 Authentication Spidering과 Access Control 테스트인데요. 이 2가지 기능의 핵심적인 부분은 ZAP에서 제공하는 Authentication과 User를 활용해서 로그인/로그아웃 플로우를 구현하는 것인데요.

여러분들은 Fuzzing 많이 하시나요? 웹해킹.. 아니 대다수 보안 테스팅에서 Fuzzing은 많은 시간을 차지 하기도 하고, 반대로 시간을 줄여주기도 합니다. 오늘은 웹 테스팅에서 ZAP을 이용해 Fuzzing할 때 Script를 이용해서 조금 더 나은 테스팅을 하는 방법에 대해 이야기하려고 합니다.

컬리넌 업데이트 로그 #15입니다. Open Redirect와 Command Injection 내용 추가했습니다.

와우 드디어 OWASP TOP 10 2021이 공개 되었습니다!!! 🤩

컬리넌 업데이트 로그 #14입니다. Path traversal이 추가되고 CSRF에 수정이 있었습니다(도구 추가).

최근 ZAP의 Auth(Authentication, Authorization) 관련 기능과 세션에 대한 부분을 파헤치고 있습니다. 제가 잘 모르고 사용하지 않았던 기능들인데, 알고나니 지금까지 약간 답답하게 일했던 제가 부끄러워지네요.

컬리넌 업데이트 로그 #13입니다. CSV Injection과 CRLF Injection에 대한 내용을 추가했습니다.

여러분들은 세션에 대한 접근 권한, Authorization에 대한 부분들을 점검하실 때 어떤 형태로 테스트하시나요?

컬리넌 업데이트 로그 #12입니다. 이번에는 JSON Hijacking, JSONP Hijacking에 대한 내용 추가되었습니다. 그리고 XSS 내용이 없던 부분이 좀 있었는데, 내용 추가하였습니다 :D