HAHWUL

Security engineer, Rubyist, Gopher and... H4cker

ME
Blog
Phoenix
Resources
Technic of Hack

ME
Blog
Phoenix
Resources
Technic of Hack

Security engineer, Rubyist, Gopher and... H4cker

Today’s blog post is written only in Korean. This is brief information about the release notes. if you need english, just see release note o...

Navigation with Embedded Browser on Burp suite 2.1.05(new releases)

2019-11-07T01:05:00+09:00

https://1.bp.blogspot.com/-UQGOO7bPdLw/XcLu9I-_pfI/AAAAAAAAEnY/ltR48lV5zdc4VlURsxLBShZNs9GIeP-FQCLcBGAsYHQ/s640/1413.gif

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/11/navigation-with-embedded-browser-on-burpsuite.html

0

오늘은 Self-XSS를 유효한 XSS로 업그레이드 하는 방법 3가지에 대해 이야기 할까 합니다. What is self XSS? XSS Vulnerable to Only Me. Generally speaking, both attackers and...

Upgrade self XSS to Exploitable XSS an 3 Ways Technic

2019-11-03T02:26:00+09:00

https://1.bp.blogspot.com/-yyPSFcP6FNc/Xb27ZSznlTI/AAAAAAAAEmE/ahfluxv7LR4vzNZ91c023aK5YX_QqlYIACLcBGAsYHQ/s640/1414.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/11/upgrade-self-xss-to-exploitable-xss.html

0

어제 파이어폭스 스크래치 패드를 쓰려고 보나보니.. 충격적인 메시지를 발견했습니다. 비활성화라니...=_= 바로 Deprecated 된다는건데요.. 솔직히 개발할때나 XSS 찾을 때 잘 써먹었는데 뭔가 아쉬운 마음이 드네요.. 찾아보니 모...

The scratchpad is deprecated from Firefox 72 version(스크래치패드 중단...)

2019-11-02T17:42:00+09:00

https://1.bp.blogspot.com/-W5_QzVmUoJA/Xb0_33SA6cI/AAAAAAAAElg/4Zg0a-ZJTF0x6BS8Q6TASPpxjbGeQzfjACLcBGAsYHQ/s640/1414%2B%25283%2529.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/11/the-scratch-pad-is-deprecated.html

0

Today i’m going to talk about WebSocket Connection Smuggling. It was announced at the Hacktivity 2019 conference , and it was kind of amazi...

WebSocket Connection Smuggling

2019-10-31T01:50:00+09:00

https://1.bp.blogspot.com/-A25q4foOy58/Xbm_ObbPgRI/AAAAAAAAElQ/JRGF0rcLQcQHovv00n62NXUnD5I1s3ISwCLcBGAsYHQ/s640/1414.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/10/websocket-connection-smuggling.html

3

일주일전에 PHP FPM 취약점 관련 내용 및 PoC가 공개되었습니다. RCE가 가능하고, PoC가 워낙 잘 나온 케이스라 아마 대다수가 긴급으로 대응하지 않았을까 싶습니다. 해당 취약점을 정확하게 이해한건 아닙니다.. 현재까지 이해한 수준에서 글...

PHP7 UnderFlow RCE Vulnerabliity(CVE-2019-11043) 간단 분석

2019-10-28T22:47:00+09:00

https://1.bp.blogspot.com/-lypT57P9mS0/XbbxOj9kZGI/AAAAAAAAEjk/6HA1FzndfCo5i7Rmibx2w4yfSblvG8WzACLcBGAsYHQ/s640/1413.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/10/php7-underflow-rce-vulnerabliity.html

2

최근에 CPDos에 대한 이야기가 핫합니다. HTTP Desync Attack 때 이미 경험했던 부분이지만, 여러모로 이슈화 되다보니 일적으로나 개인적으로나 테스트를 좀(강제로..) 해보게 되었네요. 아무튼 오늘은 CPDoS에 대해서 간략하게 글로...

CPDoS(Cache Poisoned Denial of Service) Attack for Korean

2019-10-26T17:16:00+09:00

https://1.bp.blogspot.com/-gI911Lo4eOQ/XbQA0Vr2C4I/AAAAAAAAEjA/i2dT85dWjAAep8Mt6o15d3MN9zwyeoxzQCLcBGAsYHQ/s640/1413.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/10/cpdoscache-poisoned-denial-of-service.html

0

Subdomain takeover was once a very popular vulnerability. It’s still constantly being discovered. Of course, there are so many hackers runn...

Find Subdomain Takeover with Amass + SubJack

2019-10-20T01:00:00+09:00

https://1.bp.blogspot.com/-yIZ6RmRfXAc/XaszDll3q1I/AAAAAAAAEiM/QgBYdPv1haIjiqvan4yd21Q5KLjnmj3tQCLcBGAsYHQ/s640/1414.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/10/find-subdomain-takeover-with-amass-and-subjack.html

5

요즘 공부도할겸 golang 으로 끄적끄적 만들어보고 있는게 있습니다. 그 중 일부는 웹 환경으로 구성하고 heroku에 띄울 생각인데, 루비처럼 사전에 세팅이 필요한 부분들이 있어서 내용 정리해둡니다. (루비보단 훨씬 간단해요) ...

Deploy Golang webapp on Heroku(Golang 으로 만든 웹 어플리케이션 Heroku에 배포하기)

2019-10-15T02:26:00+09:00

https://1.bp.blogspot.com/-_lGJAfYk3z4/XaSwXwr49LI/AAAAAAAAEho/CBuF6qgq9Iwhm698AoqRF0OgrGhg3qQTwCLcBGAsYHQ/s640/1414.png

HAHWUL

//1.bp.blogspot.com/-4hCYww_7htM/XKTEz_T_kYI/AAAAAAAAD7M/LE184XH-A4M7ZJkoytfFX7Y6Ldp0riNfQCK4BGAYYCw/s220/hahwul.jpg

https://www.hahwul.com/2019/10/deploy-golang-webapp-on-heroku.html

0

피드 구독하기: 글 (Atom)

Views

Table of Contents

Blog Archive

▼ 2019 (118)
- ▼ 11월 (3)
- ► 10월 (8)
- ► 9월 (8)
- ► 8월 (4)
- ► 7월 (9)
- ► 6월 (9)
- ► 5월 (19)
- ► 4월 (15)
- ► 3월 (13)
- ► 2월 (18)
- ► 1월 (12)

► 2018 (133)
- ► 12월 (12)
- ► 11월 (9)
- ► 10월 (7)
- ► 9월 (7)
- ► 8월 (17)
- ► 7월 (15)
- ► 6월 (13)
- ► 5월 (9)
- ► 4월 (10)
- ► 3월 (21)
- ► 2월 (11)
- ► 1월 (2)

► 2017 (104)
- ► 12월 (6)
- ► 11월 (4)
- ► 10월 (15)
- ► 9월 (7)
- ► 8월 (30)
- ► 7월 (7)
- ► 6월 (10)
- ► 5월 (8)
- ► 4월 (1)
- ► 3월 (3)
- ► 2월 (5)
- ► 1월 (8)

► 2016 (89)
- ► 12월 (3)
- ► 11월 (6)
- ► 9월 (1)
- ► 8월 (7)
- ► 7월 (14)
- ► 6월 (9)
- ► 5월 (8)
- ► 4월 (13)
- ► 3월 (5)
- ► 2월 (11)
- ► 1월 (12)

► 2015 (124)
- ► 12월 (13)
- ► 11월 (22)
- ► 10월 (12)
- ► 9월 (11)
- ► 8월 (23)
- ► 7월 (6)
- ► 6월 (13)
- ► 5월 (3)
- ► 4월 (1)
- ► 3월 (6)
- ► 2월 (6)
- ► 1월 (8)

► 2014 (7)
- ► 8월 (5)
- ► 7월 (2)

Popular Posts

Find Subdomain Takeover with Amass + SubJack

Subdomain takeover was once a very popular vulnerability. It’s still constantly being discovered. Of course, there are so many hackers runn...
우분투 18.04 에서 카카오톡 설치하기(Install kakaotalk on ubuntu 18.04)

📕특이사항 WineTrick에서 사용하는 MPSetup.exe가 download.microsoft.com에서 삭제된 것 같습니다. 우선 대안으론 직접 받아서 설치하면 되긴하는데, 아무래도 외부에서 받는 파일이니 바이러스 토탈 결과나 원본 있다면 원...
Upgrade self XSS to Exploitable XSS an 3 Ways Technic

오늘은 Self-XSS를 유효한 XSS로 업그레이드 하는 방법 3가지에 대해 이야기 할까 합니다. What is self XSS? XSS Vulnerable to Only Me. Generally speaking, both attackers and...
Git pull/push 시 Password 물어보지 않도록 설정하기(credential.helper)

git을 쓰다보면 간혹 config 미스, 환경 변경으로 push/pull 등 기능 실행 시 계정과 패스워드를 물어보는 경우가 발생합니다. credential 설정이 되어있지 않다면 계정정보를 요청하는게 당연하지만 한창 개발하고 있는 과정에서는 굉...
[HACKING] Frida를 이용한 멀티 플랫폼 후킹(Hooking to multi platform with Frida / Android / iOS / Other..)

간만에 툴 소개를 좀 할까 합니다. 오늘 이야기드릴 툴은 .. Frida 입니다. 파이썬 기반의 라이브러리 + Command로 구성되어 있고 Native App에 대한 후킹을 통해 분석에 도움을 줄 수 있는 프로그램이죠. What is Frid...
[CODING] GIT에서 강제로 Push 하기 / push 에러 해결하기 ( error: failed to push some refs to )

git을 활용하여 개발 중 push 시 에러가 발생하는 문제가 발생하였습니다. 해당 부분은 데이터 유실 등 문제가 있을 수 있는 부분이 있어 git 에서 처리되지 않돌독 되어있어 에러가 발생합니다. HAHWUL #> git push -u ...
[DEBIAN] apt-get 사용 시 (잠금 파일을 얻을 수 업습니다)Could not get lock /var/lib/dpkg/lock - open (11 Resource temporarily unavailable) TroubleShooting

메모 차원에서 간단하게 적어둡니다. apt-get 사용 시 아래와 같은 에러로 인해 진행이 되질 않는 경우가 있습니다. E: /var/lib/dpkg/lock 잠금 파일을 얻을 수 없습니다 - open (11: Resource temporari...
[CODING] git pull 사용 시 강제로 pull 하기

a2sv update 기능을 만들던 중 git을 이용하여 pull 하는 과정을 넣었는데 이 부분에서 계속 에러가 발생하였습니다. Updating 9733895..9ccb963 error: Your local changes to the follow...

Labels

Hacking (296) Web Hacking (135) #Hacking (132) Coding (112) #Web Hacking (108) Linux (82) Metasploit (69) Debian (64) Ruby (56) System Hacking (46) Tip (36) Vuln&Exploit (35) Mobile (31) #BugBounty (29) #BugBountyTips (27) Javascript (26) XSS (22) #WebHacking (21) HTML (21) Rails (16) Burp (12) iOS (12) Python (9) ZAProxy (9) #XSS (8) Android (8) MacOS (7) #ZAP (6) Blogger (6) Java (6) #Coding (5) #Ruby (5) Bug (5) Design (5) Git (5) Ubuntu (5) ZAP (5) Media (4) #Burp_Suite (3) Docker (3) Heroku (3) Jruby (3) vulnerability (3) #Burp (2) #CSS (2) #Exploit (2) #HTTPSmuggling (2) #Mobile Hacking (2) #Rails (2) #Security (2) ActionMailer (2) Ararhcni (2) Bug Bounty (2) CSP (2) CSRF (2) Certificate (2) Consul (2) Deserialization (2) Go (2) Jailbreak (2) Kali (2) Markdown (2) Meterpreter (2) NSE (2) Nmap (2) OWASP ZAP (2) PostgreSQL (2) SAML (2) SSO (2) SSRF (2) pentest (2) #Amass (1) #BasicAuth (1) #CPDoS (1) #CSRF (1) #ChainAttack (1) #ClickJacking (1) #DesyncAttack (1) #Docem (1) #Error (1) #Fastcgi (1) #Firefox (1) #Frida (1) #Github (1) #Golang (1) #GraphQL (1) #GraphQLMap (1) #HTML5 (1) #Heroku (1) #JSON (1) #JSONHijacking (1) #JWT (1) #Javascript (1) #Javascript #BugBounty (1) #LoginCSRF (1) #OAuth (1) #OWASP (1) #OXML_XXE (1) #Optimization (1) #PHP (1) #Pentest (1) #RCE (1) #Rails double-tap (1) #RubyGems (1) #Scratchpad (1) #SelfXSS (1) #Stylus (1) #SubdomainTakeover (1) #Tab n Ghost #Attack Vector (1) #Termux (1) #Vulnerabliity (1) #Web (1) #WebSocket (1) #Websocket_Smuggling (1) #XXE (1) #XXS (1) #ZAProxy (1) #jwt-cracker (1) #terminal-table (1) A Record (1) APT (1) ATS (1) AWS (1) AWS Region (1) Access-Control-Allow-Origin (1) Authentication (1) Brave (1) Brave Browser (1) Bypas CSP (1) Bypass Pinning (1) CNAME (1) CORS (1) Cloud (1) ClusterFuzz (1) Code Auditing (1) Code Snippet (1) Compiler (1) Compiler Bomb (1) Computer (1) Cookie (1) Crystal (1) Custom banner (1) Custom scheme API Path Tampering (1) Daracula (1) Database (1) Defcon (1) ESI (1) Editor (1) Electra (1) Error (1) EternalBlue (1) Evasion technique (1) Exploit (1) Frida (1) Frida-gadget (1) Fuzzing (1) Gem (1) Gmail (1) Google (1) HTTP Redirect (1) HTTPDesyncAttack (1) Hackbar (1) Hangul (1) HarooPad (1) IDB (1) IDN Homograph Attack (1) IdeaVim (1) Information Leakage (1) Injection (1) Insomnia (1) IntelliJ (1) JSFuck (1) JSON (1) JSON Hijack (1) Jenkins (1) Jquery (1) Kage (1) Kakao (1) KakaoLink (1) KakaoTalk (1) LOKIDN (1) MIME (1) Mad-Metasploit (1) Map (1) Memory (1) MinimumOSVersion (1) Needle (1) NetHunter (1) NodeJS (1) OBS Studio (1) PHP (1) Path Traversal (1) Pocsuite (1) Polyglot (1) Powershell (1) Proxy (1) REST API (1) Reissue Request Scripter (1) RubyMine (1) SNI (1) SQL (1) SQLI (1) SQLMap (1) SSL (1) SWF (1) Scala (1) Security (1) Service Mesh (1) Shutter (1) SpEL (1) Spectable (1) Spring (1) Subdomain (1) Subdomain-Takeover (1) SuckerPunch (1) Swift (1) Termux (1) Twitter (1) Twitter Card (1) Ubuntu 18.04 (1) WAF (1) Web (1) Web Assembly (1) Web Browser (1) Web Cache Poisoning (1) Web Crawler (1) Windows (1) Wmap (1) Wordpress (1) XSStrike (1) ZAP HUD (1) apt-get (1) asciinema (1) cve-2018-20483 (1) db_autopwn (1) editor.js (1) ffmpeg (1) grep (1) iframe (1) initialize (1) ipainstaller (1) javscript (1) metadata (1) mp3 (1) phantomJS (1) postMessage (1) robots.txt (1) sandbox (1) seagate personal cloud (1) sed (1) ssh (1) tracer (1) wget (1) xcode (1) ysoserial (1)

Since 2010 HAHWUL /

Hit enter to search :)