Plug-n-Hack(PnH)

Plug-n-hack, 즉 PnH는 Mozilla 보안팀이 제안한 표준으로 보안 도구와 브라우저간의 상호 작용을 쉽고 유용하게 할 수 있도록 만들어진 방법을 의미합니다.

최근 Chrome Platform Status에 새로운 내용이 하나 올라왔습니다.

OpenAPI in ZAP

ZAP은 단순히 url 리스트를 import 하는 기능 이외에도 GraphQL endpoint나 OpenAPI를 import 하는 기능을 가지고 있습니다. 여기서 OpenAPI Import를 활용하면 보통 API Spec에 많이 사용되는 SwaggerUI의 doc 데이터를 가지고 Example 코드에 맞게 API 데이터를 로드할 수 있습니다.

자꾸 까먹어서 메모 차 작성해둡니다. 현재 사용중인 쉘은 $1 값을 출력해서 확인할 수 있습니다.

보통 SEO나 사이트 퍼포먼스를 측정하기 위해 온라인 페이지를 사용하는 경우가 많습니다. 물론 나쁘지 않은 방법이지만 해당 사이트가 수집한 데이터를 어떻게 사용할지, 또한 이 결과가 다른 SEO 등에 어떤 영향을 미치는지 우리는 잘 알지 못합니다.

오늘은 ZAP의 소소한 팁 하나를 공유할까 합니다. 보통 Request/Response 탭은 Layout 정도만 변경하고 기본 값을 사용하는 경우가 많은데요 사실 ZAP의 Request/Response 탭은 생각보다 디테일하게 설정이 가능합니다.

아.. PortSwigger에서 또 물건 하나 만든 것 같습니다. PortSwigger의 BurpSuite 스캔 성능 중 손에 꼽는 부분이 바로 DOM Testing 부분입니다. 보통의 도구들은 DOM XSS를 찾기 위해 정해진 패턴을 headless browser로 렌더링하여 테스트하거나 js 코드 내 공격에 주로 사용되는 패턴(eval, innerHTML, document.write 등)을 감지하고 사용자에게 전달해주는 형태로 동작합니다.

많은 양의 Web URL을 분석하게 되면 눈에 잘 안들어오고, 중요한 부분들을 놓치기 마련인데 highlight 관련 기능들은 조금 더 중요한 포인트에 집중을 할 수 있도록 포인트를 잡아주기 때문에 개인적으로는 잘 활용하는게 분석함에 있어서 큰 도움이 된다고 생각합니다.

오늘은 최근 ZAPCON 2021에서 공개된 Report Add-on인 Report Generation에 대해 이야기할까 합니다.

제가 최근에 pdfcrack을 통해 pdf 파일에 걸린 패스워드를 크랙하는 내용으로 글을 썼었는데요. 이는 pdf 파일 크랙떄문에 메모 차 작성한 글이였고, 오늘은 pdf 파일의 암호화 자체에 대해 이야기할까 합니다. 그럼 pdf의 암호화와 user-password, owner-password 에 대해 알아보도록 하죠. (간단한 내용이에요)