Why Always Me!

이번 포스팅에선 IContextMenuInvocation을 통해 간단한 기능을 구현해 보겠습니다.먼저 IContextMenuInvocation에 대해 PortSwigger는 다음과 같이 정의하고 있습니다. "This interface is used when Burp calls into an extension-provided IContextMenuFactory with details of a context menu invocation. The custom context menu factory can query this interface to obtain details of the invocation event, in order to determine what menu items should be displ..

이번 포스팅에선 아래 사진처럼 Extensions 메뉴에 익스텐션을 등록하는 방법을 설명하겠습니다.   메뉴를 등록하기 위해선 IContextMenuFactory를 사용합니다. from burp import IContextMenuFactory 그 후 createMenuItems을 선언합니다. createMenuItems는 IContextMenuFactory에 정의되어 있는 메소드입니다.   def createMenuItems(self, invocation): label = "Menu Test" menuItem = JMenuItem(label, actionPerformed = self.actionTest) return([m..

기존에 파이썬으로 진단 스크립트를 만들어서 돌리던 걸 Burp Extension으로 마이그레이션을 하려고 합니다. 최종적으로 만들고 싶은 Extension이 있지만, 먼저 Burp에서 제공하는 API에 익숙해지기 위해 간단한 Extension부터 구현해 보겠습니다.언어는 Jython으로 정했습니다. Java로 개발하는 게 호환성이나 에러 처리에 유리하다곤 하지만, Java는 학창 시절이 마지막이라서.. 먼저 탭을 추가하려 합니다. 탭은 from burp import ITab 에 정의되어 있으며, 다음과 같이 사용합니다.  def getTabCaption(self): # TAB 이름 설정 return "Tab Name" def getUiComponent(self): #..

XSS Inspector은 Reflected XSS를 보다 쉽게 식별하기 위해 개발된 툴입니다. 웹 서비스는 단일 리퀘스트에 무수한 파라미터를 포함하여 백엔드 서버로 전송합니다.이때 리퀘스트의 모든 파라미터에 대한 전수 조사는 물론, 리퀘스트에는 보이지 않지만 파라미터가 될 가능성이 있는 히든 필드 값과 변수 값에 대한 조사도 수행해야 합니다. 파라미터가 적은 요청은 사람이 수동으로 테스트를 해도 문제가 크게 되지 않지만, 큰 서비스의 경우 단일 리퀘스트에 공격 가능한 벡터가 수십, 수백 개나 되는 경우도 존재합니다. 이런 경우에는 사람이 직접 테스트를 하기에 많은 시간이 소요될 수밖에 없습니다. 기존에는 스크립트를 짜서 해당 부분을 테스트했으나, 공유도 어렵고 직관적이지 않아 해당 스크립트를 GUI 환..