Go에서 인증 흐름 자동화: 보안 연구원의 No-Docs 접근 방식에서 얻은 교훈

Source: Dev.to

개요

보안 연구에서는 효율성과 정확성이 매우 중요합니다. 특히 문서가 거의 없거나 전혀 없는 복잡한 인증 흐름을 자동화할 때 더욱 그렇습니다. 이 가이드는 OAuth2 인증 흐름을 자동화하기 위한 핵심 인사이트와 실용적인 Go 코드 스니펫을 공유하며, 리디렉션, 쿠키, CSRF 토큰 및 동적 파라미터를 안전하고 신뢰성 있게 처리하는 방법에 초점을 맞춥니다.

HTTP 클라이언트 설정

세션을 추적하고 리디렉션을 관리하기 위해 쿠키 저장소가 포함된 커스텀 http.Client가 필수적입니다.

import (
	"net/http"
	"net/http/cookiejar"
	"log"
)

func newClient() *http.Client {
	jar, err := cookiejar.New(nil)
	if err != nil {
		log.Fatal(err)
	}
	return &http.Client{
		Jar: jar,
		CheckRedirect: func(req *http.Request, via []*http.Request) error {
			// Handle redirects manually if necessary
			return nil
		},
	}
}

인증 흐름 시작

필요한 쿼리 파라미터를 포함한 인증 URL을 구성하고 GET 요청을 보냅니다.

import (
	"net/url"
)

func startAuthFlow(client *http.Client, authEndpoint string, params map[string]string) (*http.Response, error) {
	query := url.Values{}
	for k, v := range params {
		query.Add(k, v)
	}
	authURL := authEndpoint + "?" + query.Encode()
	return client.Get(authURL)
}

// Example parameters
params := map[string]string{
	"client_id":      "your-client-id",
	"redirect_uri":   "https://yourapp.com/callback",
	"response_type":  "code",
	"scope":          "openid profile",
	"state":          "randomStateString",
}

resp, err := startAuthFlow(client, "https://auth.example.com/authorize", params)

응답을 관찰하고, 특히 인증 코드를 포함하는 리디렉션 URL을 확인합니다.

인증 코드 추출

최종 리디렉션 URL에서 code 파라미터를 파싱합니다.

import "net/url"

func extractCodeFromRedirect(resp *http.Response) (string, error) {
	redirectURL := resp.Request.URL
	code := redirectURL.Query().Get("code")
	return code, nil
}

코드를 토큰으로 교환

필요한 폼 데이터를 포함해 토큰 엔드포인트에 POST 요청을 보냅니다.

import (
	"net/url"
	"strings"
)

func exchangeCodeForToken(client *http.Client, tokenEndpoint, code string) (*http.Response, error) {
	data := url.Values{}
	data.Set("grant_type", "authorization_code")
	data.Set("code", code)
	data.Set("redirect_uri", "https://yourapp.com/callback")
	data.Set("client_id", "your-client-id")
	data.Set("client_secret", "your-client-secret")

	req, err := http.NewRequest("POST", tokenEndpoint, strings.NewReader(data.Encode()))
	if err != nil {
		return nil, err
	}
	req.Header.Set("Content-Type", "application/x-www-form-urlencoded")

	return client.Do(req)
}

응답을 처리하여 이후 API 호출에 사용할 토큰을 안전하게 저장합니다.

모범 사례

• 자동화하기 전에 실제 흐름 상호작용을 관찰하여 필요한 파라미터와 숨겨진 필드를 이해합니다.
• 강력한 쿠키 관리를 사용하여 리디렉션 전반에 걸쳐 세션 상태를 유지합니다.
• URL 및 응답 본문을 신중히 파싱하여 토큰 및 기타 동적 데이터를 추출합니다.
• 비밀을 절대 하드코딩하지 마세요; 안전한 저장소나 환경 변수에서 로드합니다.
• 다양한 환경에서 테스트하여 엣지 케이스와 서버 동작의 변이를 포착합니다.

참고 자료

• OAuth 2.0 Authorization Framework (RFC 6749)
• OAuth 2.0 Threat Model and Security Considerations
• Go net/http package documentation

팁: 일회용 테스트 계정을 생성하려면 TempoMail USA를 사용하세요.