Next.js 서버 액션에 대한 펜테스팅

Next.js 서버 액션은 프로덕션 환경에서 해시 식별자로 표시되는 POST 요청으로 나타나기 때문에 침투 테스트 중에 분석하기 어렵습니다. NextjsServerActionAnalyzer Burp 확장 프로그램은 `productionBrowserSourceMaps`가 활성화된 경우 이러한 해시를 이해하기 쉬운 함수 이름으로 매핑하여 이를 돕습니다. 이 확장은 축소된 JavaScript 파일에 액션 해시와 해당 함수 이름 간의 매핑이 포함되어 있다는 사실을 활용합니다. 프록시 기록을 자동으로 스캔하여 JavaScript 청크를 찾고 이러한 매핑을 추출하여 해시와 함수 이름 간의 명확한 연관성을 만듭니다. 변경되는 해시 ID를 추적하는 대신, 이 확장은 상수 함수 이름에 초점을 맞춰 애플리케이션 빌드가 달라져도 정확한 식별을 보장합니다. 강력한 기능은 사용되지 않는 액션을 Burp 내에서 테스트 가능한 요청으로 변환하여 테스트 프로세스를 단순화합니다. 최근 평가에서 이 확장은 수많은 서버 액션 해시를 함수 이름으로 성공적으로 매핑하여 테스트의 명확성을 향상시켰습니다. 이를 통해 테스터는 `updateUserProfile()` 및 `fetchReportData()`와 같은 함수를 쉽게 식별하고 테스트할 수 있었습니다. 이 매핑을 통해 사용되지 않는 서버 액션을 발견할 수 있었고, 이를 대상으로 테스트를 진행할 수 있었습니다. 이 접근 방식은 Next.js 애플리케이션에서 보다 효율적이고 집중적인 보안 테스트를 가능하게 합니다. 이 확장은 궁극적으로 테스터가 Next.js 서버 액션 분석에 접근하는 방식을 변화시킵니다. 이 확장은 애플리케이션 동작에 대한 더 나은 이해를 제공합니다.