pdf 패스워드 크랙할 일이 있어서 도구랑 간단하게 사용방법 메모해 둡니다 😁

올 초에 처음 열린 ZAPCon 2021에서 ZAP Automation at Scale이란 세션이 있었습니다. 그 때 당시에는 그냥 ZAP Automation Addon을 통해 기존 자동화 작업을 좀 더 쉽게 구성할 수 있다 정도로 받아드렸었는데, 최근에 Scan Policy 관련해서 비슷한 고민을 하다보니 ZAP Automation의 장점이 눈에 보였습니다.

ZAP에는 Token Generation and Analysis란 Addon이 있습니다. 사실 이름만 보고 예전부터 설치는 해두었는데 한번도 사용하지 않았던 것 같네요.. 그래서 오늘 한번 사용해보고 정확히 어떤 도구인지, 어떤 용도로 사용할 수 있을지 글로 작성해봅니다.

오늘은 host validation 로직 우회 때 사용했던 간단한 팁 하나 공유해봅니다. 뭐 누구나 아는 내용이라 별거 없긴 하지만, 기록으로 남겨두어야 나중에 한번에 관련 내용들을 정리할 때 쉽게 찾고 사용할 수 있어서 블로그 글로 작성해둡니다.

ZAP에서 옵션쪽 좀 보다가 Rule configuration 이란 부분이 있는데, 제가 아는 일반적인 스캔 룰 설정이라는 달라서 긴가민가한 부분이 있어 내용 정리해둡니다.

Dalfox 2.4 features

Summary

go get

go 기반 어플리케이션들을 사용해보셨거나 go 언어로 개발을 한다면 go get 은 매우 익숙한 명령이라고 생각합니다.

CSS(Style) Injection

CSS Injection은 XSS나 HTML Injection과 같이 웹 상에서 CSS, 즉 스타일 시트에 Injetion이 가능한 경우를 의미합니다. 보통 사용자에게 직접적인 영향력이 있는건 아니지만, 스타일 시트 제어를 통해서 매핑된 이벤트 핸드러를 통해 XSS나 다른 기능을 수행시키거나 교모한 피싱 페이지를 구성하는데 사용할 수 있습니다.

최근에 제가 서브 에디터로 사용하고 있는 markdown 에디터가 하나 있습니다. graph view와 back-link가 정말 유용한 Obsidian이란 에디터인데요, 쓰다보니 충분히 이점이 많아서 소개 차 글로 작성해봅니다. 간단하게 기능들과 부족한 부분에 대해 살펴보도록 하죠 😎

Phoenix - CSRF

/phoenix/csrf