Security engineer, Bugbounty hunter, Developer and... H4cker

WebSocket Connection Smuggling

Today i’m going to talk about WebSocket Connection Smuggling.It was announced at t...

PHP7 UnderFlow RCE Vulnerabliity(CVE-2019-11043) 간단 분석

일주일전에 PHP FPM 취약점 관련 내용 및 PoC가 공개되었습니다. RCE가 가능하고, PoC가 워낙 잘 나온 케이스라 아마 대다수가 긴급으로 ...

CPDoS(Cache Poisoned Denial of Service) Attack for Korean

최근에 CPDos에 대한 이야기가 핫합니다. HTTP Desync Attack 때 이미 경험했던 부분이지만, 여러모로 이슈화 되다보니 일적으로나 개...

Find Subdomain Takeover with Amass + SubJack

Subdomain takeover was once a very popular vulnerability. It’s still constantly be...

Deploy Golang webapp on Heroku(Golang 으로 만든 웹 어플리케이션 Heroku에 배포하기)

요즘 공부도할겸 golang 으로 끄적끄적 만들어보고 있는게 있습니다.그 중 일부는 웹 환경으로 구성하고 heroku에 띄울 생각인데, 루비처럼 사...

jwt-cracker를 이용한 secret key crack

JWT는 내용에 대한 서명을 내용 뒤에 붙여주어 위변조를 감지할 수 있습니다.간혹 secret이 간단하게 설정된 경우에는 secret을 찾고 변조된...

Bypass referer check logic for CSRF

Referer header check is probably the most frequently used CSRF countermeasure. It’...

New Technic of HTTP Desync Attack

After the HTTP Desync Attack announcement, the bugbounty hunters and corporate sec...

If you find powerful OXML XXE tool? it's "DOCEM"

XXE 테스트 시 쓸만한 도구 하나 찾아서 공유드립니다.직접 노가다하거나 기존에 공개됬던 툴보단 훨씬 편리할 것 같습니다.When I tested ...