때때로 보안 테스팅 시 WAF나 Application의 로직에 따라 403 Forbidden 으로 접근이 제한되는 경우가 있습니다. 보통은 백엔드의 처리 로직을 봐야 정확하게 우회할 수 있는 포인트를 잡겠지만, 몇가지 트릭을 통해 Black Box Testing 상태에서도 이를 우회할 수 있습니다.

컬리넌 업데이트 로그 #18입니다. XST(Cross-Site Tracing)과 DOM Clobbering 항목을 추가했습니다.

최근에 ZAP OAST(Callback 기능)에 projectdiscovery의 Interactsh 지원이 추가되었습니다. 약 2주전에 commit 됬고 저도 인지한지 좀 됬었는데, 이제서야 글로 작성하네요 😁

최근에 ZAP의 업데이트 서버 주소 관련해서 확인할게 있어서 user-groups에 문의를 했었습니다. 덕분에 쉽게 업데이트 주소를 확인 했지만 메모해두면 좋을 내용들이 있어서 정리해서 글로 작성해둡니다.

컬리넌 업데이트 로그 #17입니다. JWT와 관련 공격 기법들에 대한 항목 추가되었고, CSRF 내 bypass 부분에 Method bypass 부분 추가되었습니다.

go1.17 버전부터 go get을 이용한 executable app, 즉 바이너리 설치가 deprecated 되었습니다 🧐

goreleaser의 각각 v0.157.0, v0.175.0 버전에서 M1 macbook, Windows ARM 64 지원이 추가되었습니다. 저도 제가 개발하는 도구에선 M1 지원이 약간 늦은 느낌이 있긴한데요. 관련해서 주의해야할 점들 정리해 둡니다.

최근에 Simon, ZAP 공식 트위터 계정에서 2.11에 대한 릴리즈가 임박했음을 알렸습니다.

There was a released minor version of Dalfox after a long time. Mainly performance improvement, it detects much better than before :D

TL;DR

코드를 gist에 따로 올려두었습니다.