Posts - Page 24 of 87
DCO and Github Sign-off Commit
3 min read
어제 밤에 ZAP쪽에 Pull Request를 날렸다가 아래와 같은 상황이 있었습니다.
[Cullinan #8] Update reverse tabnabbing (browser’s patched)
~1 min read
Change note
reverse tabnabbing 관련하여 브라우저사들의 패치가 있어 공격방법, 대응방법 등에 변경사항이 있었습니다.
The reverse tabnabbing has weakened more
1 min read
Reverse tabnabbing은 리스크가 높은 공격은 아니지만 피싱에서 충분히 사용될 수 있기 때문에 보안을 조금 더 신경쓴다면 분명이 체크하고 가야할 부분입니다. 해당 공격에 대한 설명은 아래 링크를 참고해주세요.
Rails mimemagic 0.3.5 could not be found 에러 해결, 그 이면
1 min read
Error
지난주 Rails 앱에 수정할게 있어서 작업을 진행했었는데, 아래와 같은 에러를 겪었습니다 😭
Import remote JS in IMG tag. for bypass XSS
1 min read
밤에 트윗을 보다가 간단한 XSS 트릭을 봤는데 특별히 뭔가가 있는건 아니지만 가끔씩 CSP 우회에도 사용될 수 있을 것 같아 글로 작성해둡니다.
Secure JWT and Slinding Sessions
3 min read
Sessions 이란?
Sessions은 컴퓨팅에서 비슷하지만 여러 의미로 사용되는 용어입니다. 일반적으로 상태를 의미한다고 보면 될 것 같고, 웹에서는 HTTP가 비 연결형 프로토콜이기 때문에 서버가 기존에 접속했던 클라이언트인지 확인할 수 있는 수단으로 사용됩니다. (파일 쿠키랑 비슷하죠. 다만 처리에선 약간 다르긴합니다.)
OOB Testing with interactsh!
2 min read
OOB(Out-Of-Band)와 Callback 서버
SSRF, RCE 등에서 공격 페이로드의 성공 여부를 어떠한 방식으로 체크하시나요? 보통은 원격지의 서버를 두고 HTTP나 DNS 요청이 발생하는걸 감지해서 체크하곤 합니다. BurpSuite엔 이러한 작업을 위해 collaborator라는 아주 유용한 도구(사용자별로 별도의 도메인과 callback-notify를 제공)가 있고 이를 기반으로한 여러가지 확장기능(taborator, activescan, collaborator everywhere)이 있습니다.
[Cullinan #7] Add terms of security page
~1 min read
이번 cullinan 업데이트는 terms 페이지 추가입니다.
Get webpage screenshot with gowitness for CICD
~1 min read
What is gowitness
gowitness는 버그바운티 커뮤니티에서 잘 알려진 도구로 대량의 URL을 대상으로 웹 스크린샷을 빠르게 찍을 수 있는 도구입니다.
[Learn ML #1] 이제부터 머신러닝(Machine Learning)도 공부합니다 😁
1 min read
최근에 머신러닝 공부를 하고 있습니다. 물론 뭐 깊게 공부하기에는 제 주력인 보안과 도메인도 워낙 다르고, 개발적인 테크닉 이외에도 수학/통계학적인 부분이 많이 필요하기 때문에 잘 할 수 있을거란 확신은 들지 않네요.