메모 차원에서 작성합니다.

Hi hackers and bugbounty hunter!

올해부터 버그바운티 시 사용하기 좋은 웹 해킹 도구들을 정리하고 있습니다. 그중엔 BurpSuite와 ZAP의 확장 기능 컬렉션도 있고 트윗통해 추천을 받던 중 쓸만한 ZAP 확장 기능을 찾아 글로 간략하게 작성해봅니다.

As you can see from my blog and tweet, I recently full-change(new project…) my XSpear and created an XSS Scanning tool called DalFox. Today, I’m going to share some tips for using DalFox. 제 블로그나 트윗을 본다면 알겠지만, 최근 XSpear를 갈아엎고 DalFox라는 XSS Scanning 도구를 만들었습니다.

에러의 내용을 요약하면 아래와 같습니다. renegoriation 미설정으로 인한 발생이네요.

Hi, hackers and bugbounty hunters 👋🏼

Normally, BurpSuite or ZAP is the main tool of testing during bugbounty or security testing. It’s good to navigate directly with the spider function in there, but sometimes you need help from an external crawler. (especially when using a waybackmachine) 평소에 버그바운티나 테스팅 시 BurpSuite에서 주로 테스팅을 진행합니다. Burp에서의 spider 기능과 직접 돌아다니는게 좋긴하지만, 때론 외부 크롤러의 도움이 필요할때가 있습니다. (특히 waybackmachine을 사용할땐요)

Install

asciicast2gif를 설치해줍시다. npm 패키지입니다. 추가로 asciicast2gif 가 ImageMagick과 gifsicle을 사용하기 때문에 설치가 안되어 있다면 아래 부분도 같이 설치가 필요합니다.

때때로 버그바운티를 하다보면, 굉장히 많은 파일을 만나게 됩니다. 특히 meg, gospider 등 recon 도구를 사용한 결과의 양은 상상을 초월합니다.

There was an unusual phenomenon in which grep did not work in a particular directory. The directory was a result of testing multiple url with a meg, and I thought it was a phenomenon that was caused by a large number of subfiles and directories, but the funny thing is that the grep works normally in the parent directory of that directory. 특정 디렉토리에서 grep이 동작하지 않는 특이한 현상이 있었습니다. 해당 디렉토리는 meg로 다수의 url을 테스팅한 결과였고, 하위 파일과 디렉토리가 많아서 발생하는 현상으로 생각했었는데, 웃긴게 해당 디렉토리의 상위 디렉토리에서 grep은 정상 동작합니다.