Posts - Page 40 of 87
Run other application in ZAP ๐ฏ
2 min read
ZAP has one interesting feature. It is a function that can use external applications. This makes it easier and more powerful for security testing to work with external tools. Todayโs post is how to use the Apply bridge(?) in ZAP.
OAuth ๊ณผ์ ์์ ๋ฐ์ํ ์ ์๋ ์ฌ๋ฏธ์๋ ์ธ์ฆํ ํฐ ํ์ทจ ์ทจ์ฝ์ (Chained Bugs to Leak Oauth Token) Review
1 min read
์ค๋ OAuth ๊ด๋ จ ๋ฒ๊ทธ๋ฐ์ดํฐ ์ฌ๋ฏธ์๋๊ฑด์ ๋ด์ ํฌ์คํ ์ผ๋ก ํ์ด๋ด ๋๋ค. ๊ฐ๋จํ ์์ฝํ๋ฉด ์ฐ๋ฒ์ ํ๋ถ OAuth ๊ณผ์ ์ค ๋ฌธ์ ๊ฐ ์์ด์ ์ฌ์ฉ์ ์ธ์ฆ์ ๋ณด๋ฅผ ๊ณต๊ฒฉ์์๊ฒ ํ์ทจํ ์ ์๋ ๋ถ๋ถ์ด์๊ณ ๋ฆฌํฌํ ํ @ngalog ๋ $7,500๋ ๋ฐ์๋ค๊ณ ํ์ฃ .
XSS Payload without Anything
1 min read
What is XSS Payload without Anything?
When I work for a company or bug bounty, the unexpected hurdle is a protection(xss filter) of special char in the JS(Javascript) area. So I am devising a way to easily solve these problems, and one of the processes is this document.
GraphQLmap - testing graphql endpoint for pentesting & bugbounty
3 min read
๋ฐค์ ํธ์๋ณด๋ค๋ณด๋ swissky๊ฐ ํด ํ๋๋ฅผ ๋ง๋ค์ด์ ๋ฐฐํฌํ๋๊ตฐ์. ์ฌ์ง์ด GraphQL ๊ด๋ จ ์๋ํ๋๊ตฌ๋ผ ๋ฐ๋ก ๋์ถฉ ์ ๋ฆฌํด์ ํฌ์คํ ํด๋ด ๋๋ค. GraphQLmap ์ ๋๋ค.
Ruby on Rails Double-Tap ์ทจ์ฝ์ (CVE-2019-5418, CVE-2019-5420)
4 min read
๊ฐ๋ง์ ์ทจ์ฝ์ ๋ฆฌ๋ทฐํด๋ด ๋๋ค. ์ฌ ๋ด์ ์ ๋ฆฌํ๋ฒํ๊ณ ์ต๊ทผ์ ์ถ๊ฐ๋ก ์ ๋ฆฌํ๋๊ฑฐ๋ผ ๋จธ๋ฆฌ์์์ ๋ ์๊ฐ๊ธฐ ์ ์ ๋ธ๋ก๊ทธ ๊ธ๋ก ๋จ๊ฒจ๋ณด์์. ์ฐ์ ์ฌ ํด 3์ ์ ๋์ ๋ ์ผ์ฆ ๊ด๋ จ ์ทจ์ฝ์ ์ด 3๊ฐ์ ๋ ์ฌ๋ผ์์์ต๋๋ค. CVE-2019-5418 ~ 5420 ์ด์์ธ๋ฐ, ๊ฒฐ๊ณผ์ ์ผ๋ก Rails์์ ์์คํ ํ์ผ์ ์ฝ๊ณ , ๋ช ๋ น ์คํ๊น์ง ๊ฐ๋ฅํ 3๊ฐ์ง์์ต๋๋ค.
ZAP์์ Request/Respsponse ๊น๋ํ๊ฒ ๋ณด๊ธฐ
~1 min read
Problem
ZAP์์ Burp์ Repeater์ ๋น์ทํ ์ญํ ์ ํ๋ ๋๊ตฌ๊ฐ Requester๋ผ๋ ํ์ฅ๊ธฐ๋ฅ์ ๋๋ค. (๋ด์ฅ ๊ธฐ๋ฅ๋ ์์ง๋ง ์ฌ๋ฌ๋ชจ๋ก ๋ถ์กฑํ์ฃ .)
Finding in-page scripts & map files with javascript (very simple..)
~1 min read
๋ณ ์ฝ๋๋ ์๋์ง๋ง ๋ง๋ค์ด ๋๊ณ ์ฐ๋ฉด ํธํ๋.. ํ์ด์ง์ ์๋ ์ธ๋ถ ์คํฌ๋ฆฝํธ ๋งํฌ์ map ํ์ผ ๋งํฌ ๋ณผ ์ ์์ต๋๋ค. (map์ ๊ทธ๋ฅ ๋ฌด์กฐ๊ฑด ๋ํ๋๊ฒ..)
Tap n Ghost Attack(ํญ ์ค ๊ณ ์คํธ) - ์๋ก์ด ๋ฌผ๋ฆฌ์ (?) ํดํน ๊ณต๊ฒฉ ๋ฒกํฐ
1 min read
์ง๋์ฃผ์ธ๊ฐ ์ง์ง๋์ฃผ์ธ๊ฐ ์ด ๋ด์ฉ์ ๋ณด๊ณ ์์ฃผ์์ฃผ์์ฃผ์์ฃผ ๋์ถฉ ์ด์์ ์จ๋จ์๋๋ฐ, ์ด์ ์์ผ ๊ธ๋ก ํฌ์คํ ํ๋ค์. ์ค๋์ ๋ฌผ๋ฆฌ์ ์ธ ํดํน ๊ธฐ๋ฒ์ ์๋ก์ด ๊ณต๊ฒฉ ๋ฒกํฐ์ธ ํญ ์ค ๊ณ ์คํธ(Tap n Ghost) ๊ณต๊ฒฉ์ ๋ํด ์์๋ณผ๊น ํฉ๋๋ค.
ZAP 2.8 Review โก๏ธ
1 min read
๋๋์ด, ์ ๋ง ๋๋์ด ZAP 2.8์ด ๋ฆด๋ฆฌ์ฆ ๋์์ต๋๋ค.
Frequently used frida scripts and others..
2 min read
Iโve posted some frequently used Freda scripts. Honestly, I like cordshares, but sometimes I need them(raw script, link, etcโฆ).