Posts - Page 16 of 87
Solving issue the POST scan in zap-cli not work
1 min read
During the test, I found that POST-based scanning(active-scan / quick-scan) was not working in zap-cli ๐ฑ This problem is zap-cli issue, and it has already been reported as an issue below.
Github repo ๋ด Languages ๋ณ๊ฒฝํ๊ธฐ (.gitattributes)
1 min read
Github repository ํ์ด์ง์ ์ฐ์ธก์๋ ํด๋น repo์ ์ธ์ด ํต๊ณ์ธ Languages๊ฐ ์์ต๋๋ค. ์ด๋ ํ์ด์ง์ ์ ๊ทผํ ์ฌ์ฉ์๋ก ํ์ฌ๊ธ ์ด ํ๋ก์ ํธ๊ฐ ์ด๋ค ์ธ์ด๋ฅผ ์ฃผ๋ ฅ์ผ๋ก ๊ตฌ์ฑ๋์๋์ง ํ์ธํ ์ ์๋ ์งํ๊ฐ ๋๊ณ , ์ผ๋ถ ๋๊ตฌ๋ค์ ์ด ๋ฐ์ดํฐ๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ์คํ์์ค ํ๋ก์ ํธ๋ค์ ๋ถ๋ฅํ๊ธฐ๋ ํฉ๋๋ค.
Go์์ ์์ฃผ ํฐ JSON ํ์ผ์ ํธ๋ค๋งํ๊ธฐ
2 min read
์ต๊ทผ์ ์๋ฅ์ง ์์ ๋ฌธ์ ๋ก ๊ตฌ๊ธ๋งํ๋ค๊ฐ ๋จ์ํ๊ฒ ํด๊ฒฐํ ์ผ์ด ์์ด์ ์งง๊ฒ ๊ธ๋ก ๊ณต์ ํด๋ณผ๊น ํฉ๋๋ค. ๋ณต์กํ ๋ฌธ์ ๋ก ์๊ฐํด์ ์คํ๋ ค ๊ฐ๊น์ด์ ์๋ ๋ต์ ๋์น๊ณ ๋ง์์๋ค์.
Go์์ http.Request/http.Response๋ฅผ Raw String์ผ๋ก ๋ง๋ค๊ธฐ
2 min read
์ค๋์ golang์์ http.Request๋ฅผ Raw HTTP Request (string) ํํ๋ก ์นํํ๋ ๋ฐฉ๋ฒ์ ๋ํด ๋ฉ๋ชจํ๋ ค๊ณ ํฉ๋๋ค.
[Cullinan #21] Add RFD(Remote File Download)
~1 min read
์ปฌ๋ฆฌ๋ ์ ๋ฐ์ดํธ ๋ก๊ทธย #21์ ๋๋ค. RFD(Remote File Download)๋ฅผ ์ถ๊ฐํ๊ณ Cache Poisoning์์ wordlist ๋ถ๋ถ ์์ ํ์ต๋๋ค.
[Cullinan #20] LDAP Injection, ClickJacking, Cache Poisoning ๊ทธ๋ฆฌ๊ณ ๊ฐ์ ์ฌํญ
~1 min read
์ปฌ๋ฆฌ๋ ์ ๋ฐ์ดํธ ๋ก๊ทธย #20์ ๋๋ค. ์์ Jekyll ๋ธ๋ก๊ทธ์์ ์ฌ์ฉํ๋ ๊ฒ๊ณผ ๋์ผํ๊ฒ Cullinan์ ๋ฉ์ธ ํ์ด์ง๋ฅผ ๊ตฌ์ฑํ๊ณ Slug ๋ถ๋ถ์ ๊ฐ์ ์ ํด์, ์ ๋ชฉ์ ์ฝ์ ๋ฑ ์ผ๋ถ ๋ด์ฉ๋ค์ด ๋ ์ถ๊ฐ๋์์ต๋๋ค. ๊ทธ๋ฆฌ๊ณ LDAP Injection, ClickJacking, Web Cache Poisoning ํญ๋ชฉ์ ์ถ๊ฐํ์ต๋๋ค :D
New technic of HTTP Request Smuggling (chunked extension)
2 min read
์ค๋๋ง์ HRS(HTTP Request Smugglin) ๊ด๋ จ ํ ํฌ๋์ด ์ถ๊ฐ๋์์ต๋๋ค. ์์ง ์ค์ ๋ก ๊ณต๊ฒฉ ๊ฐ๋ฅํ๋ ์ฌ๋ก๊ฐ ์๋๊ฑด ์๋๋ผ ์คํผ์ ์ ์๋์ง๋ง, ์ด๋์ ๋ ์ ๋น์ฑ์ด ์์ด์ ๊ธ๋ก ์์ฑํด๋ด ๋๋ค.
[Cullinan #19] Add SQLi and Cookie Bomb
~1 min read
์ปฌ๋ฆฌ๋ ์
๋ฐ์ดํธ ๋ก๊ทธ #19
์
๋๋ค. SQL Injection๊ณผ Cookie Bomb Attack์ด ์ถ๊ฐ๋ฌ๊ณ , Amass ๋ถ๋ถ์ ์์ ์ด ์์์ต๋๋ค. ๊ทธ๋ฆฌ๊ณ ์ด๋ฒ์ chunked extension ๊ธฐ๋ฐ์ HTTP Request Smuggling ๊ด๋ จ ๊ธ์ ์์ฑํ๋ฉด์ Cullinan - HTTP Requset Smuggling ๋ถ๋ถ์๋ ํด๋น ๋ด์ฉ์ ์ถ๊ฐํ์์ต๋๋ค.
Amass + Scripting = ์ต๊ณ ์ ์๋ธ๋๋ฉ์ธ ํ์
4 min read
์ฌ๋ฌ๋ถ๋ค Amass ๋ง์ด ์ฌ์ฉํ์๋์? Amass๋ subdomain์ ํ์ํ๊ธฐ ์ํ ๋๊ตฌ๋ค ์ค ํ๋๋ก ZAP๊ณผ ๋ง์ฐฌ๊ฐ์ง๋ก OWASP์ ํ๋๊ทธ์ฝ ํ๋ก์ ํธ์ ๋๋ค. ๋ํ ๋น์ทํ ๋๊ตฌ์ธ subfinder, assetfinder, findomain ๋ฑ ์ฌ๋ฌ๊ฐ์ง์ ๋น๊ตํด๋ด๋ ๊ฑฐ์ ์ต๊ณ ๋ก ์๊ผฝ์ ์ ์๋ ๋๊ตฌ์ ๋๋ค.
ZAP 2.11์ด ๋ฆด๋ฆฌ์ฆ๋์์ต๋๋ค! ๋น ๋ฅด๊ฒ ๋ฆฌ๋ทฐํ์ฃ โก๏ธ
2 min read
๋๋์ด ZAP 2.11 ๋ฒ์ ์ด ๋ฆด๋ฆฌ์ฆ ๋์์ต๋๋ค ๐๐ผ๐