최근 @Gareth Heyes가 또 재미있는 브라우저 엔진의 규칙을 찾고 있습니다. X 통해서 몇가지 공유됬었는데요, 그 중 일부는 XSS 테스팅에 직접적으로 쓰일 수 있어 정리하여 공유해봅니다.

Recently, I encountered persistent crashes while running ZAP 2.15 on macOS. The issue seemed to stem from the bundled Java version. After some debugging and testing, I found a solution by downgrading the bundled Java version in ZAP.

Warp에서 lunarvim, lazyvim 또는 neovim에 직접 테마를 적용하여 사용하다 보면 아래와 같이 여백이 발생하게 됩니다.

최근에 저는 Burpsuite, Caido, ZAP을 모두 사용하고 있습니다. 기존 환경에서 Caido가 추가되었고, 여러가지를 실험중에 있습니다. 이 실험을 진행하면서 예상대로 돌아가지 않았던 것들이 많았지만 반대로 몇가지 얻어가고 있는 것들이 있습니다. 오늘은 그 중에 제가 잘 사용하지 않았던 트릭에 대해 바뀐 생각과 내용을 공유할까 합니다.

ZAP 2.15가 릴리즈되었습니다. OWASP를 나오는 이슈로 인해 2.14가 빠르게 출시됬던 상태라 2.15까지의 기간 또한 짧았네요. 오늘은 2.15 버전에 대해 빠르게 리뷰해봅니다.

바로 어제 압축 처리를 xz 패키지의 upstream tarballs에서 악의적인 동작이 확인되어 이슈입니다. 결론은 xz 내 Malicious code가 삽입되었고 이로 인해 많은 시스템이 영향받을 것으로 보입니다. CVE-2024-3093를 할당받은 이 이슈에 대해 이야기해볼까 합니다.

JSON은 YAML과 함께 자주 사용되는 포맷 중 하나입니다. K:V 형태의 단순한 구성이지만, JSON의 특성을 이용하면 데이터를 숨기고 Application의 잘못된 동작을 유도할 수 있습니다.

ChatGPT는 사용자 개개인이 Bot을 만들고 서비스할 수 있도록 제공되고 있습니다. 저도 제 편의를 위해 몇가지 만들어서 사용하는데 너무나도 쉬운 방법으로 Prompt를 읽어낼 수 있었네요.

LLM 모델을 사용하는 서비스에선 Prompt Injection과 같은 LLM Attack을 방어, 완화하기 위해 여러가지 보호 로직을 가지고 있습니다. 그리고 이를 깨기 위해서 독창적인 방식의 Prompt가 필요합니다.

Apple에서 조만간 iMessage에 PQ3라는 암호화 프로토콜을 적용할 예정이라고 발표했습니다.