Param Digger! Easy param mining via ZAP

올해 ZAP의 GSoC 프로젝트는 Param Mining을 하는 AddOn이 선정 되었었습니다. BurpSuite의 Param Miner를 모티브로 쉽게 Mining하는 것이 목표가 되었기에, Scripting과 Fuzzing으로만 Param Mining을 제 입장에선 매우 반가운 소식이였었죠.

어쩌다 보니 스노우볼이 커졌네요..😆

드디어 최근 공식 릴리즈가 되어 블로그에도 정리해봅니다 :D

Param Digger

Start Mining

History, Requset 등 여러 곳에서 우클릭(Context Menu) > Attack > Param Digger 로 Mining 을 시작할 수 있습니다.

Options

기본적으로 URL, Header, Cookie에 대해 Guessing이 가능하며 여러 Method, 그리고 Wordlist 또한 사전에 정의된 Predefine나 Custom wordlist를 사용할 수 있습니다.

동작은 Param Miner (BurpSuite)와 유사하게 다수의 파라미터를 한번에 요청하여 Response를 차이를 보고 점점 영향받는 파라미터를 추론하는 방식입니다. 확실히 무작위로 던지는 것 보단 이게 효율적인 것 같습니다.

Result

만약 Hidden parameter를 찾았다면 output 탭에서 확인할 수 있습니다.

Hot Key

Param Digger와 해당 탭에 대한 단축키 지원은 존재합니다.

API

아직 지원하지는 않습니다만 Local API에선 Hello world로 만들어놓은 것을 보아 나중에 추가될 가능성도 있어 보입니다.

Name confusion

Param Digger란 이름은 약간 히스토리가 있습니다. GSoC, 그리고 최초 릴리즈는 Param Miner란 이름으로 릴리즈됬었는데 Albinowax가 이름 충돌에 대한 문제를 이야기하여 결과적으론 Param Digger란 이름으로 교체되었습니다.

Conclusion

물론 당분간은 Fuzzing과 Scripting, 그리고 Param Digger를 공통으로 사용하여 진행하겠지만, 점점 Param Digger의 비중이 높아지지 않을까 생각됩니다. 그리고 앞으로 Param Digger에 FAT GET 등 여러가지 Mining 기술들이 추가될 예정이라고 하니 기대가 되네요 😍

References