개요 실무 프로젝트 진행하던 와중 특정 파라미터 값에 의하여 서버 내 데이터 정보가 노출되는 취약점을 찾았다. 파라미터에 임의 값을 입력하여 요청하는 경우 서버 내 정보를 비롯하여 서버 OSINT 정보, 고객사 내 자산정보 등 노출되어 Burpsuite 기능 내 Intruducer 을 이용, 데이터를 뽑던 와중 번거러운 작업이라 아예 파싱 코드를 작성하고자 하였다. Python 의 request 라이브러리로 일반적인 파라미터 요청만 되는줄 알았으나, json도 지원하는 것을 확인하였다. 참고하기 : https://kaisec.tistory.com/entry/Python-Requests-Library Python Requests Library 개요 실무 모의해킹 컨설팅이나 CTF 대회, 버그바운티를 진행하..

개요 실무 모의해킹 컨설팅이나 CTF 대회, 버그바운티를 진행하다보면 패킷 내 데이터를 지정하여 요청 / 응답 값을 판단해야하는 경우가 생긴다. 예시들로 CTF 에서는 반복되는 URL 에 접근하여 Flag 값이 존재하는 페이지를 확인하거나 실무에선 Blind Injection 을 진행할때가 좋은 예시라고 할 수 있다. 요즘처럼 라이브러리가 많이 존재하지 않았을 몇년 전까지만 해도 직접 C++ 이나 C# 으로 따로 요청하는 패킷과 해당 패킷에 대한 응답 페이지 값을 가져와야 했지만 2022년 현재 파이썬 라이브러리들이 수많은 개발들을 통해 공개되면서 보다 쉽게 작성이 가능해졌다. 자신이 C++. C# 등 여러 언어를 비교적 자유롭게 활용할 수 있다면 해당 코드를 작성하여 원하는 결과값을 도출해낼 수 있겠으..