자바 스크립트 디버깅
사용 계기
Burp suite 를 사용해 점검 중, 패킷이 모두 E2E 방식으로 암호화 되어있는 걸 확인함
서버에서 클라이언트로 데이터를 송신시 암호화, 수신시 복호화하는 로직이 존재할것이라고 추측
해당 암, 복호화 로직이 언제 동작하고, 어디에 존재하는지 확인하기 위해 사용
E2E 암호화 : 데이터가 송신자에서 암호화되어, 수신자만 복호화 가능한 암호화 방식 -> MITM 방식에 대응 가능
▶️ 자바스크립트 디버깅
웹 페이지내 동작하는 자바스크립트 코드의 실행 흐름을 추적하고, 변수 값을 확인하거나 코드의 문제를 분석하는 것
디버깅 방법
▶️ 크롬으로 진행
1. 대상 페이지 접근 후 개발자 도구(F12, crtl+shift+i/cmd+option+i) 실행
-
소스 탭으로 이동 디버거 표시 클릭
-
이벤트 리스너 중단점 -> 마우스 -> click 체크 박스 클릭
-
원하는 동작 실행
-
단계별로 동작(F9)를 클릭, 동작하는 코드 중 암,복호화(찾으려는 동작)되는 코드를 일일히 확인
-
찾으려는 동작 스크립트를 찾은 경우 해당 줄의 넘버를 클릭하면 흐름 확인 가능
-
이때 CSS, js 등 찾고자하는 동작과 연관이 없어 보이는 코드는 무시 목록에 스크립트 추가 에 추가해 동작을 줄여가며 확인
-
여러회 반복해 원하는 동작의 스크립트를 확인
추가) 콘솔창을 사용해 중간 확인
확인을 원하는 로직에 console.log()를 입력해 확인 가능
적용)
프로젝트에서 자바 스크립트 디버깅을 한 목적은 암,복호화 로직을 확인해 암호화되어 날라오는 패킷을 복호화하기 위함이었음
해당 암복호화 로직을 확인한 후 암호화되어 날라오는 json 형태의 패킷을 복호화에 성공
(보안 솔루션을 사용하는 경우 패킷 암호화에만 집중되어, 패킷을 복호화해 패킷을 변조해 다시 요청이 가능한 경우, 변조가 되는 경우가 종종있음)
패킷 변조와 암호화 후 요청시 패킷을 검증하는 검증 값이 난수로 적용되어 있는것을 확인
ex) userNum=10239414 -> userNum=12343352 해당 형태로 매 요청시 변경되어 유추하기 어려움을 겪음
❇️ 참고 자료
