개인적으로 API 보안 테스팅이나 개발할 때 Insomnia란 도구를 사용합니다. (제가 예전에 한번 소개했었어요)

오늘은 Zest 스크립트에서 Headless Browser와 일반 ZAP 요청간 Cookie를 처리하는 방법에 대해 이야기하려고 합니다. Headless Browser와 ZAP 내부의 Req/Res 간에 쿠키 교환으로 여러 상황에서 웹 요청을 쉽게 처리하여 원하는 보안 테스팅, 자동화 루틴을 이어갈 수 있습니다.

Web의 Authorization, Permission, Access Control 테스팅 시 어떤 방법을 활용하시나요? 보통 보안 테스팅 단계에선 권한을 바꿔가며 수동으로 테스트하거나 자동화된 도구를 통한 테스팅, 또는 두개를 병행하여 테스트합니다. 그리고 자동화된 테스팅을 위해선 Burpsuite, ZAP, CLI Tools 등 여러가지 도구를 사용합니다.

최근 Rust 기반의 분석도구인 Caido가 드디어 Public Beta로 전환되었습니다. 기존 Private Beta 당시 수려한 UI와 빠르다고 알려진 속도 덕분에 일부 BugBountyHunter 들에게 선택되어 사용되었고 많은 관심을 받고 있던 도구입니다.

Origin 헤더와 ACAO(Access-Control-Allow-Origin) 헤더는 Cross-Origin 관계에서 데이터를 전달하고 수신하기 위한 헤더로 SOP(Same-Origin Policy)를 공식적으로 우회하기 위한 헤더입니다. 일반적으로 CORS라고 통용되어 부르며, 이는 JSON Hijacking과 CSRF 취약점에 큰 접점을 가지고 있습니다.

ZAP의 확장성은 Scripting Engine의 파워에서 나옵니다. URL, HTML, Base64 등 테스팅 단계에선 인/디코딩을 하는 경우가 굉장히 많은데요. 이 때 사용하는 Encode/Decode/Hash 기능 또한 Scripting으로 확장할 수 있습니다.

여러분들은 분석하실 때 어떤 브라우저를 사용하시나요? 저는 보통 각 도구의 Embedded Browser(ZAP-Firefox/Burp-Chrome)을 주로 사용합니다. 그리고 종종 일단 Firefox로도 테스트를 즐겨합니다.

ZAP 팀에서 관리하는 도구들 중에 유독 관심이 가던 도구가 하나 있었습니다. 오늘은 드디어 정리를 마무리해서 블로그 글로 공유드리면서 어떻게 사용하는지, 이걸 통해 무엇을 할 수 있는지 이야기드리려고 합니다.

ProjectDiscovery의 도구들은 항상 커뮤니티에 큰 파장을 일으킵니다. 실제로 ProjectDiscovery로 인해 CLI 기반의 테스팅이 훨씬 대중화되고, 이들의 도구는 각종 Pipeline에서의 핵심 도구가 되고 있습니다. 그리고 최근에 Katana란 도구를 출시하고 Nuclei 만큼 큰 파장을 일으키고 있는 것 같네요.

Blind XSS 도구 중 가장 유명하고 많은 기능을 담았던 XSSHunter가 올해까지만 운영되고 내년부터 서비스가 종료됩니다. 기업 내부에서는 보통 별도의 BXSS Callback 서비스를 구축하거나 OAST를 사용하여 체크했겠지만, 버그바운티 유저나 외부에서 테스팅하는 경우 XSSHunter 사용 빈도가 높았던걸로 알고 있어 아쉬움이 많이 남습니다. (저 또한 굉장히 애용했구요.)