HAHWUL

Security engineer, Rubyist, Gopher and... H4cker

About
Blog
Phoenix
Cheatsheet
Resources
Project

About
Blog
Phoenix
Cheatsheet
Resources
Project

Security engineer, Rubyist, Gopher and... H4cker

요즘 공부도할겸 golang 으로 끄적끄적 만들어보고 있는게 있습니다. 그 중 일부는 웹 환경으로 구성하고 heroku에 띄울 생각인데, 루비처럼 사전에 세팅이 필요한 부분들이 있어서 내용 정리해둡니다. (루비보단 훨씬 간단해요) ...

Deploy Golang webapp on Heroku(Golang 으로 만든 웹 어플리케이션 Heroku에 배포하기)

2019-10-15T02:26:00+09:00

https://1.bp.blogspot.com/-_lGJAfYk3z4/XaSwXwr49LI/AAAAAAAAEho/CBuF6qgq9Iwhm698AoqRF0OgrGhg3qQTwCLcBGAsYHQ/s640/1414.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/10/deploy-golang-webapp-on-heroku.html

0

JWT는 내용에 대한 서명을 내용 뒤에 붙여주어 위변조를 감지할 수 있습니다. 간혹 secret이 간단하게 설정된 경우에는 secret을 찾고 변조된 JWT를 만들 수 있는데, 이를 인증에 사용하거나 중요 로직에서 데이터를 읽어 사용하는 경우 큰 보...

jwt-cracker를 이용한 secret key crack

2019-10-12T01:30:00+09:00

https://1.bp.blogspot.com/-Rg420mWOnhE/XaCtiZ1LE8I/AAAAAAAAEhE/ThhX_ieplH4hG9gVzkaadh63NJKNeSLOACLcBGAsYHQ/s640/1415%2B%25281%2529.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/10/jwt-cracker-secret-key-crack.html

0

Referer header check is probably the most frequently used CSRF countermeasure. It’s easier to implement and less performance issues than the...

Bypass referer check logic for CSRF

2019-10-12T01:02:00+09:00

https://1.bp.blogspot.com/-ywQG0KOTvkE/XaCniShkn4I/AAAAAAAAEg0/ABT4x0xT-5AsfbRW3HA4gD8_6AyutjdoACLcBGAsYHQ/s640/1414.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/10/bypass-referer-check-logic-for-csrf.html

0

After the HTTP Desync Attack announcement, the bugbounty hunters and corporate security personnel seem to be very busy. Albino recently anno...

New Technic of HTTP Desync Attack

2019-10-10T01:22:00+09:00

https://1.bp.blogspot.com/-mgPLYrhU-6Q/XZ4JGT3d0jI/AAAAAAAAEfw/s8aIsh3XsN4bWgtOyRxz-lyvyf7B0iDfQCLcBGAsYHQ/s640/1414.gif

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/10/new-technic-of-http-desync-attack.html

0

XXE 테스트 시 쓸만한 도구 하나 찾아서 공유드립니다. 직접 노가다하거나 기존에 공개됬던 툴보단 훨씬 편리할 것 같습니다. When I tested OXML XXE, OOXML XXE, I used to create payload myself o...

If you find powerful OXML XXE tool? it's "DOCEM"

2019-09-29T01:45:00+09:00

https://1.bp.blogspot.com/-HXzMYtqP3aU/XY-M_dLC4rI/AAAAAAAAEeM/YxOnzT4blwEZOdlrDBjKtbFfQpIJAj0_QCLcBGAsYHQ/s640/1414.gif

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/09/oxml-xxe-payload-inject-tool-docem.html

0

해커원 보고서를 읽던 중 재미있는 XSS 취약점이 있어 공유해봅니다. I read the hacker1 report every day. there is an interesting XSS vulnerability in the disclosure hac...

Normalized Stored XSS (\xef\xbc\x9c => \x3c)

2019-09-27T01:44:00+09:00

https://1.bp.blogspot.com/-oAh7eifTyy4/XYzqTDu7-5I/AAAAAAAAEd0/GYiAT7hoL58SDW78ngsf0gFlm2QCQwtFwCLcBGAsYHQ/s640/1414.gif

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/09/normalized-stored-xss.html

1

Hi. Today, I will briefly talk about how to identify unused JS and CSS on the web page. If you take advantage of this, you can reduce unne...

How to Remove Unused JS/CSS with Browser developers tool

2019-09-27T00:49:00+09:00

https://1.bp.blogspot.com/-jgUdU_guXkk/XYzccX6E9qI/AAAAAAAAEdY/ro0egVEjFawPAltDvl9OlrE5NOwx8Nq6ACLcBGAsYHQ/s640/1414.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/09/how-to-remove-unused-js-and-css.html

2

Path traversal 페이로드 관련해서 툴 사용이 어려울 때 매번 타이핑하기 귀찮아서 하나 만들어두고 쓰고 이었습니다. cheatsheet쪽에 정리하려다가, 아직 개편(진행중이랍니다..)중이고 이후에 어떤 형태로 나타낼지 자리잡히지 않아서 글로 ...

Path Traversal pattern of ../

2019-09-24T00:17:00+09:00

https://1.bp.blogspot.com/-6RvVMjezQUU/W2cVvksJ7nI/AAAAAAAADX4/brz9ZTkZqfs26bOeqtmWH432apsaWogegCLcBGAs/s1600/hwul_1.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/09/path-traversal-pattern-of-dotdot-slash.html

0

피드 구독하기: 글 (Atom)

Views

Table of Contents

Blog Archive

▼ 2019 (111)
- ▼ 10월 (4)
- ► 9월 (8)
- ► 8월 (4)
- ► 7월 (9)
- ► 6월 (9)
- ► 5월 (19)
- ► 4월 (15)
- ► 3월 (13)
- ► 2월 (18)
- ► 1월 (12)

► 2018 (133)
- ► 12월 (12)
- ► 11월 (9)
- ► 10월 (7)
- ► 9월 (7)
- ► 8월 (17)
- ► 7월 (15)
- ► 6월 (13)
- ► 5월 (9)
- ► 4월 (10)
- ► 3월 (21)
- ► 2월 (11)
- ► 1월 (2)

► 2017 (104)
- ► 12월 (6)
- ► 11월 (4)
- ► 10월 (15)
- ► 9월 (7)
- ► 8월 (30)
- ► 7월 (7)
- ► 6월 (10)
- ► 5월 (8)
- ► 4월 (1)
- ► 3월 (3)
- ► 2월 (5)
- ► 1월 (8)

► 2016 (89)
- ► 12월 (3)
- ► 11월 (6)
- ► 9월 (1)
- ► 8월 (7)
- ► 7월 (14)
- ► 6월 (9)
- ► 5월 (8)
- ► 4월 (13)
- ► 3월 (5)
- ► 2월 (11)
- ► 1월 (12)

► 2015 (124)
- ► 12월 (13)
- ► 11월 (22)
- ► 10월 (12)
- ► 9월 (11)
- ► 8월 (23)
- ► 7월 (6)
- ► 6월 (13)
- ► 5월 (3)
- ► 4월 (1)
- ► 3월 (6)
- ► 2월 (6)
- ► 1월 (8)

► 2014 (7)
- ► 8월 (5)
- ► 7월 (2)

Popular Posts

우분투 18.04 에서 카카오톡 설치하기(Install kakaotalk on ubuntu 18.04)

📕특이사항 WineTrick에서 사용하는 MPSetup.exe가 download.microsoft.com에서 삭제된 것 같습니다. 우선 대안으론 직접 받아서 설치하면 되긴하는데, 아무래도 외부에서 받는 파일이니 바이러스 토탈 결과나 원본 있다면 원...
New Technic of HTTP Desync Attack

After the HTTP Desync Attack announcement, the bugbounty hunters and corporate security personnel seem to be very busy. Albino recently anno...
If you find powerful OXML XXE tool? it's "DOCEM"

XXE 테스트 시 쓸만한 도구 하나 찾아서 공유드립니다. 직접 노가다하거나 기존에 공개됬던 툴보단 훨씬 편리할 것 같습니다. When I tested OXML XXE, OOXML XXE, I used to create payload myself o...
[CODING] GIT에서 강제로 Push 하기 / push 에러 해결하기 ( error: failed to push some refs to )

git을 활용하여 개발 중 push 시 에러가 발생하는 문제가 발생하였습니다. 해당 부분은 데이터 유실 등 문제가 있을 수 있는 부분이 있어 git 에서 처리되지 않돌독 되어있어 에러가 발생합니다. HAHWUL #> git push -u ...
[DEBIAN] apt-get 사용 시 (잠금 파일을 얻을 수 업습니다)Could not get lock /var/lib/dpkg/lock - open (11 Resource temporarily unavailable) TroubleShooting

메모 차원에서 간단하게 적어둡니다. apt-get 사용 시 아래와 같은 에러로 인해 진행이 되질 않는 경우가 있습니다. E: /var/lib/dpkg/lock 잠금 파일을 얻을 수 없습니다 - open (11: Resource temporari...
Git pull/push 시 Password 물어보지 않도록 설정하기(credential.helper)

git을 쓰다보면 간혹 config 미스, 환경 변경으로 push/pull 등 기능 실행 시 계정과 패스워드를 물어보는 경우가 발생합니다. credential 설정이 되어있지 않다면 계정정보를 요청하는게 당연하지만 한창 개발하고 있는 과정에서는 굉...
[HACKING] Frida를 이용한 멀티 플랫폼 후킹(Hooking to multi platform with Frida / Android / iOS / Other..)

간만에 툴 소개를 좀 할까 합니다. 오늘 이야기드릴 툴은 .. Frida 입니다. 파이썬 기반의 라이브러리 + Command로 구성되어 있고 Native App에 대한 후킹을 통해 분석에 도움을 줄 수 있는 프로그램이죠. What is Frid...
Normalized Stored XSS (\xef\xbc\x9c => \x3c)

해커원 보고서를 읽던 중 재미있는 XSS 취약점이 있어 공유해봅니다. I read the hacker1 report every day. there is an interesting XSS vulnerability in the disclosure hac...

Labels

Hacking (295) Web Hacking (135) #Hacking (128) Coding (112) #Web Hacking (108) Linux (82) Metasploit (69) Debian (64) Ruby (56) System Hacking (46) Tip (36) Vuln&Exploit (35) Mobile (31) Javascript (26) #BugBounty (25) #BugBountyTips (22) XSS (22) HTML (21) #WebHacking (16) Rails (16) Burp (12) iOS (12) Python (9) ZAProxy (9) Android (8) #XSS (7) MacOS (7) #ZAP (6) Blogger (6) Java (6) #Ruby (5) Bug (5) Design (5) Git (5) Ubuntu (5) ZAP (5) #Coding (4) Media (4) Docker (3) Heroku (3) Jruby (3) vulnerability (3) #Burp (2) #Burp_Suite (2) #CSS (2) #HTTPSmuggling (2) #Mobile Hacking (2) #Rails (2) ActionMailer (2) Ararhcni (2) Bug Bounty (2) CSP (2) CSRF (2) Certificate (2) Consul (2) Deserialization (2) Go (2) Jailbreak (2) Kali (2) Markdown (2) Meterpreter (2) NSE (2) Nmap (2) OWASP ZAP (2) PostgreSQL (2) SAML (2) SSO (2) SSRF (2) pentest (2) #Amass (1) #BasicAuth (1) #CSRF (1) #ChainAttack (1) #DesyncAttack (1) #Docem (1) #Error (1) #Exploit (1) #Frida (1) #Github (1) #Golang (1) #GraphQL (1) #GraphQLMap (1) #HTML5 (1) #Heroku (1) #JSON (1) #JSONHijacking (1) #JWT (1) #Javascript (1) #Javascript #BugBounty (1) #OAuth (1) #OWASP (1) #OXML_XXE (1) #Optimization (1) #Pentest (1) #Rails double-tap (1) #RubyGems (1) #Security (1) #Stylus (1) #Tab n Ghost #Attack Vector (1) #Termux (1) #Vulnerabliity (1) #Web (1) #XXE (1) #XXS (1) #ZAProxy (1) #jwt-cracker (1) #terminal-table (1) A Record (1) APT (1) ATS (1) AWS (1) AWS Region (1) Access-Control-Allow-Origin (1) Authentication (1) Brave (1) Brave Browser (1) Bypas CSP (1) Bypass Pinning (1) CNAME (1) CORS (1) Cloud (1) ClusterFuzz (1) Code Auditing (1) Code Snippet (1) Compiler (1) Compiler Bomb (1) Computer (1) Cookie (1) Crystal (1) Custom banner (1) Custom scheme API Path Tampering (1) Daracula (1) Database (1) Defcon (1) ESI (1) Editor (1) Electra (1) Error (1) EternalBlue (1) Evasion technique (1) Exploit (1) Frida (1) Frida-gadget (1) Fuzzing (1) Gem (1) Gmail (1) Google (1) HTTP Redirect (1) HTTPDesyncAttack (1) Hackbar (1) Hangul (1) HarooPad (1) IDB (1) IDN Homograph Attack (1) IdeaVim (1) Information Leakage (1) Injection (1) Insomnia (1) IntelliJ (1) JSFuck (1) JSON (1) JSON Hijack (1) Jenkins (1) Jquery (1) Kage (1) Kakao (1) KakaoLink (1) KakaoTalk (1) LOKIDN (1) MIME (1) Mad-Metasploit (1) Map (1) Memory (1) MinimumOSVersion (1) Needle (1) NetHunter (1) NodeJS (1) OBS Studio (1) PHP (1) Path Traversal (1) Pocsuite (1) Polyglot (1) Powershell (1) Proxy (1) REST API (1) Reissue Request Scripter (1) RubyMine (1) SNI (1) SQL (1) SQLI (1) SQLMap (1) SSL (1) SWF (1) Scala (1) Security (1) Service Mesh (1) Shutter (1) SpEL (1) Spectable (1) Spring (1) Subdomain-Takeover (1) SuckerPunch (1) Swift (1) Termux (1) Twitter (1) Twitter Card (1) Ubuntu 18.04 (1) WAF (1) Web (1) Web Assembly (1) Web Browser (1) Web Cache Poisoning (1) Web Crawler (1) Windows (1) Wmap (1) Wordpress (1) XSStrike (1) ZAP HUD (1) apt-get (1) asciinema (1) cve-2018-20483 (1) db_autopwn (1) editor.js (1) ffmpeg (1) grep (1) iframe (1) initialize (1) ipainstaller (1) javscript (1) metadata (1) mp3 (1) phantomJS (1) postMessage (1) robots.txt (1) sandbox (1) seagate personal cloud (1) sed (1) ssh (1) tracer (1) wget (1) xcode (1) ysoserial (1)

Since 2010 HAHWUL /

Hit enter to search :)