Security engineer, Bugbounty hunter, Developer and... H4cker

XSS payload for escaping the string in JavaScript

오늘 오후쯤 신기한 페이로드를 하나 찾아서 메모해뒀다가 글로 작성해봅니다.자바스크립트 내부에 코드가 삽입되었지만 문자열을 탈출할 수 없을 때 사용할...

ZAP Send to Any tools(My Applicaiton settings, Send to Burpsuite and Other tools)

Hi friends?! I shared the applications settings in ZAP yesterday(https://www.hahwu...

How to use SDCard directory in Termux(not rooted)

Use sdcard directory on Termux1) run termux-setup-storage command on termux termin...

Easy security testing with applications bridge in ZAP(with SQLMap, XSStrike, etc..)

ZAP has one interesting feature. It is a function that can use external applicatio...

OAuth 과정에서 발생할 수 있는 재미있는 인증토큰 탈취 취약점(Chained Bugs to Leak Oauth Token) Review

오늘 OAuth 관련 버그바운티 재미있는건을 봐서 포스팅으로 풀어봅니다.간단히 요약하면 우버와 페북 OAuth 과정 중 문제가 있어서 사용자 인증정...

XSS Payload without Anything

What is XSS Payload without Anything?When I work for a company or bug bounty, the ...

GraphQLmap - testing graphql endpoint for pentesting & bugbounty

밤에 트윗보다보니 swissky가 툴 하나를 만들어서 배포했더군요. 심지어 GraphQL 관련 자동화도구라 바로 대충 정리해서 포스팅해봅니다. Gr...

Ruby on Rails Double-Tap 취약점(CVE-2019-5418, CVE-2019-5420)

간만에 취약점 리뷰해봅니다. 올 봄에 정리한번하고 최근에 추가로 정리했던거라 머리속에서 날아가기 전에 블로그 글로 남겨보아요.우선 올 해 3월 정도...

ZAP에서 Request & Response, Requester add-on에서 깔끔하게 보기(Request and Response panel side by side in the same tab)

간단한 트릭이지만 이제서야 알게되어.. 허무한 마음으로 내용 공유드려봅니다.ProblemZAP에서 Burp의 Repeater와 비슷한 역할을 하는 ...