Hello Caido ๐๐ผ
์ต๊ทผ Rust ๊ธฐ๋ฐ์ ๋ถ์๋๊ตฌ์ธ Caido๊ฐ ๋๋์ด Public Beta๋ก ์ ํ๋์์ต๋๋ค. ๊ธฐ์กด Private Beta ๋น์ ์๋ คํ UI์ ๋น ๋ฅด๋ค๊ณ ์๋ ค์ง ์๋ ๋๋ถ์ ์ผ๋ถ BugBountyHunter ๋ค์๊ฒ ์ ํ๋์ด ์ฌ์ฉ๋์๊ณ ๋ง์ ๊ด์ฌ์ ๋ฐ๊ณ ์๋ ๋๊ตฌ์ ๋๋ค.
์ค๋์ Caido๊ฐ ์ด๋ค ๋๊ตฌ์ธ์ง, ์ด๋ป๊ฒ ์ฌ์ฉํ๋ฉด ์ข์์ง ์ดํด๋ณด๊ณ ๊ณต์ ํด๋ด ๋๋ค.
Overview
Caido๋ Manual Testing์ ์ด์ ์ด ๋ง์ถฐ์ง ๋๊ตฌ๋ก ๋น ๋ฅธ ์๋๋ฅผ ์ฅ์ ์ผ๋ก ๋ด์ธ์ฐ๊ณ ์์ต๋๋ค. Rust ๊ธฐ๋ฐ์ด๋ค ๋ณด๋ ๋ฐ์ดํฐ๊ฐ ๋ง์์ง๊ณ ์ฐ์ฐ์ด ๋ณต์กํด์ง ์๋ก ์ด์ ์ ๋ง์ด ๊ฐ์ ธ๊ฐ ๊ฒ ๊ฐ์ต๋๋ค.
ํ ์คํ ์ ํ์ํ ๊ธฐ๋ณธ์ ์ธ ๊ธฐ๋ฅ์ ์๋์ ๊ฐ์ด ์ ๊ณตํ๊ณ ์์ต๋๋ค. ๋ฌผ๋ก ํ ์คํ ๋ฐฉ๋ฒ๋ก ์ ๋ฐ๋ผ ์๋ง์ ์๋ ์์ง๋ง, ๊ธฐ๋ณธ์ ์ผ๋ก ๋ฉ๋ด์ผ ํ ์คํ ์ ํ์ํ ๊ธฐ๋ฅ๋ค์ ์ผ์ถ ๋ค ๊ฐ์ถ๊ณ ์์ต๋๋ค.
- Sitemap
- Forward
- Intercept
- Replay
- Automate
- Tamper
- Convert
- History
- Scope
๋ชจ๋ ๊ฑธ ๋ค ์์ฑํ๊ธด ๋ถํ์ํ ๊ฒ ๊ฐ๊ณ Sitemap, Replay, Automate์ ์ค์ ์ ์ธ ํน์ง์ ์ดํด๋ณผ๊ฒ์.
Take a look
Sitemap
sitemap์ ๊ฒฝ์ฐ ZAP์ ๊ตฌ์กฐ์ ์ ์ฌํฉ๋๋ค. ๊ธฐ๋ณธ์ ์ผ๋ก Site์ ๋ํ tree์ ํด๋น History ๊ทธ๋ฆฌ๊ณ Req/Res๋ฅผ ๋ณผ ์ ์๋ ์ฐฝ์ ์ ๊ณตํฉ๋๋ค. ์ ๋ฐ์ ์ผ๋ก ๊ต์ฅํ ๊น๋ํ๋ค์.
์ฐํด๋ฆญํ๋ฉด Send to ๋ก Replay๋ Automate๋ก ๋ณด๋ผ ์ ์์ต๋๋ค.
Replay
Replay๋ Burp์ repeater, ZAP์ Requester/Manual Request์ ๋น์ทํ ๊ธฐ๋ฅ์ ๋๋ค. ์์ฒญ์ ํธ์งํ๊ณ ์ฌ ์ ์กํด๋ณผ ์ ์์ต๋๋ค. ์ฌ๋ฏธ์๋๊ฑด ๊ธฐ๋ณธ์ ์ผ๋ก Collection ๋จ์์ ์ ๋ฆฌ๋ฅผ ์ง์ํฉ๋๋ค. ๊ฐ๊ฐ์ Collection์ ์ํ๋ ์์ฒญ์ ๋ฃ์ด์ ํ์ธํ ์ ์์ต๋๋ค.
Burpsutie์ Repeater์ ๋ฎ์๊ณ , Stepper์๋ ์ด์ง ๋ฎ์๋ค์
๋ ์ฌ๋ฏธ์๋๊ฑด Replay์์ ์ ์กํ ๋ฐ์ดํฐ๋ ์ด๋ ฅ์ ๊ฐ์ง๊ณ ์์ต๋๋ค. ์๋ ํ์ดํ ๋ฒํผ์ผ๋ก ์ด์ ์์ฒญ๊ณผ Res๋ฅผ ํ์ธํ ์ ์์ต๋๋ค.
์ด๊ฑด ์ง์ง ๊ด์ฐฎ๋ค์ ๐๐ฝ
Automate
Automate๋ Fuzzing์ ์ํ ๊ธฐ๋ฅ์ผ๋ก Burp์ Intruder, ZAP์ Fuzzer์ ๊ฐ์ ๊ฒฐ์ ๊ธฐ๋ฅ์ด๋ฉฐ ๋ชจ์ต์ ZAP Fuzzer๋ฅผ ๋ฎ์์ง๋ง ์ง๊ด์ ์ด๊ณ ๋์ ๊ธฐ๋ฅ์ด ์ด์ง ๋ชจ์๋๋๋ค.
ํ์ผ์ด๋ ๋ฆฌ์คํธ ๊ธฐ๋ฐ์ผ๋ก ํ ์คํ ํ ์ ์๊ณ , Attack Strategy๋ก ์ง์ ํ ์ ์์ด์ ์ฉ๋์ ๋ง๊ฒ ์ฌ๋ฌ๊ฐ์ง ํํ๋ก ํ ์คํธํด๋ณผ ์ ์์ต๋๋ค.
GraphQL Endpoint
Caido๋ GraphQL Endpoint๋ฅผ ์ ๊ณตํฉ๋๋ค. ์ฟผ๋ฆฌํ ์ ์๋ ๋ถ๋ถ์ด ์๋นํ ๋ํ ์ผํด์ ์ฐ๊ฒฐ๋ ๋ค๋ฅธ ๋๊ตฌ๋ค์ ๋ง๋ค๊ณ ์ด์ฉํ๊ธฐ ์ข์ ๊ฒ ๊ฐ์ต๋๋ค.
๊ฐ์ธ์ ์ธ ์ถ์ธก์ผ๋ก๋ Burp, ZAP์์ ๊ณ ์ํ๊ณ ์๋ Java ๊ธฐ๋ฐ(๋๋ Jruby, Jython ๋ฑ์ ์ด์ฉํ ์คํฌ๋ฆฝํ )์ Addon์ ๋ถํธํจ์ ์ธ์งํ๊ณ API๋ฅผ ์ข ๋ ์ฝ๊ฒ ์ ๊ณตํ๋ ค๋ ๋ชฉ์ ์ด ์๋๊น ์ถ์ต๋๋ค. ZAP ๋ํ REST API๋ฅผ ๊ต์ฅํ ๋ํ ์ผํ๊ฒ ์ฃผ๊ณ ์์ด์ Addon์ด ์๋์ฌ๋ API๋ฅผ ํ์ฉํ ๋ฐฉ๋ฒ๋ค๋ก ์ธ ์ ์์๋๋ฐ, ํฌ๊ฒ๋ ๋น์ทํ ๊ทธ๋ฆผ์ผ๋ก ๊ฐ์ง ์์๊น ์ถ๋ค์.
Roadmap
Caido ํ์ Github Project๋ฅผ ์ ์ฐ๊ณ ์์ต๋๋ค. ์ฐธ๊ณ ํ๋ฉด ์ด๋ค ๋ฐฉํฅ์ผ๋ก ๋๊ตฌ๊ฐ ๋ง๋ค์ด์ง๊ณ ๋ค๋ฌ์ด์ง์ง ๋ฏธ๋ฆฌ ์์ธกํด๋ณผ ์ ์์ต๋๋ค :D
Conclusion
์ง๊ธ ๋จ๊ณ์์ ์ ๋ Burpsuite์ด๋ ZAP ๋ณด๋ค ์ข์ ์ ์์ต๋๋ค. ํ๋ก์ ํธ์ ๊ธฐ๊ฐ๊ณผ ๊ท๋ชจ๊ฐ ๋ค๋ฅด๊ธฐ ๋๋ฌธ์ ๊ธฐ๋ณธ์ ์ผ๋ก ์ด ๋์ ๋ฆ๊ฒ ์์ํ ํ๋ก์ ํธ์์ ๋ฐ๋ผ๊ฐ๊ธฐ ํ๋ ์ ๋์ ๊ธฐ์ ๊ณผ ์์ฌ์๋ ๋ ธํ์ฐ๊ฐ ๋ง๋ค๊ณ ์๊ฐํฉ๋๋ค.
Burpsuite์ Scanning Engine, ZAP์ Scripting Engine.
๋ค๋ฅธ ๊ธฐ๋ฅ๋ค์ ์ ์ธํ๊ณ ๋จ์ํ ์์ง ํ๋์ฉ๋ง ๊บผ๋ด๋ ์ด ๋์ ์์ฒญ๋ ์ฅ์ ์ ๊ฐ์ง๊ณ ์์ฃ .
๋ค๋ง ์๋๋ผ๋ ์ด๋ฌํ ๊ฒฝ์์์ ์ถํ์ ๋ชจ๋ ๋๊ตฌ์ ๋ฐ์ ์ ํฐ ์ํฅ์ ์ฃผ๊ธฐ ๋๋ฌธ์ ํญ์ ๋ฐ๊ฐ์ต๋๋ค. ์ ๋ํ ์ ๊ฐ ๊ฐ์ง๊ณ ์๋ ์ฌ๋ฌ ๋ชฉํ ์ค ํ๋๊ฐ MITMProxy ๊ธฐ๋ฐ์ ๋ถ์ ๋๊ตฌ๋ฅผ ๋ง๋๋ ๊ฒ์ธ๋ฐ, Caido์์๋ ๋ง์ ์๊ฐ์ ์ป์ด๊ฐ ๊ฒ ๊ฐ๋ค์.
์ผ๋จ์ ์๋ธ๋ก ์ข ๋ ์ฌ์ฉํด๋ณด๊ณ ๊ด์ฐฎ๋ค๋ฉด Caido๋ฅผ ์ฌ์ฉํ๊ธฐ์ ์ข์ ํ๋ค์ ๊ณต์ ํด๋ณด๋๋ก ํ ๊ฒ์ :D