HAHWUL

HAHWUL

Security engineer, Developer and H4cker

Cullinun

Cullinan

Cullinan is wiki of offensive security

Phoenix

Phoenix

Phoenix is online tools for me

postMessage XSS on HackerOne(by adac95) Review

주중에 HackerOne 리포트 뒤적뒤적 찾아보다가 postMessage를 이용한 DOM Base XSS가 있어 공유차 글 작성해봅니다.https:...

Bypass SSRF Protection using HTTP Redirect

오늘도 SSRF 우회 패턴 정리해봅니다. 자주 쓰던 방법 중 하나인데 최근에 제대로 먹혀서 기분이 좋네요. 별다른건 아니고 HTTP Redirect...

Compiler Bomb for Hacking and Security Testing

Compiler Bomb라고 들어보셨나요? 어제(이미 새벽이니..) 취약점 분석 하다가 알게된 부분인데, 간략하게 나마 정리해둘까 합니다.말 그대로...

Bypass SSRF Protection using DOMAIN CNAME and A Record

Common SSRF서버가 직접 접근해서 데이터를 가져오는 ssrf.php 라는 페이지가 있다고 칩시다.ssrf.php?u=https://www.h...

Resolving "handshake alert: unrecognized_name" Error in ZAP and Burp suite

최근에 일부 테스트환경(hosts 추가한거라 인증서문제가…)에서 이런 에러를 만났습니다. handshake alert: unrecognized_na...

Custom Scheme API Path Tampering과 트릭을 이용한 API Method 변조

앱 테스트하다보면 Custom Scheme에서 발생한 API 요청 중 일부가 GET만 사용하는데, 이런 구간에서 주소 변조나 API 로직을 바꿀 수...

Jenkins RCE Vulnerability via NodeJS(using metasploit module)

최근에 따로 봤었던 내용인데, 톡방으로 관련 내용 공유(https://pentest.com.tr/exploits/Jenkins-Remote-Comm...

MIME Types of script tag (for XSS)

XSS 테스트 도중에 이런 케이스가 있었는데, 실행이 안됬었습니다.. https://gph.is/1yw44rd[ Request ]?param=ale...

Twitter Card on Google Blogger(블로거에 트위터 카드 적용하기)

트위터 공유하면서 의아했던게 하나 있느데, 트위터에선 og태그가 먹지 않습니다..별 신경 안쓰고 있다가 혹시나 하고 좀 찾아보니 별도의 포맷을 가지...