Posts - Page 37 of 87
The scratchpad is deprecated from Firefox 72 version(스크래치패드 중단…)
~1 min read
어제 파이어폭스 스크래치 패드를 쓰려고 보나보니.. 충격적인 메시지를 발견했습니다.
웹 소켓의 새로운 공격 기법! WebSocket Connection Smuggling 😈
3 min read
오늘은 WebSocket Connection Smuggling에 대한 이야기를 할까 합니다. Hacktivity 2019 컨퍼런스에서 발표된 내용이고, 신기한거 같아서 몇번 테스트해보니 실제 케이스에서 발생할 수 있는 문제로 보이네요.. (저 멀리 헝가리에서 하는 컨퍼런스라 가본적도 없고한데, 볼만한 내용들이 좀 있네요!)
PHP7 UnderFlow RCE Vulnerabliity(CVE-2019-11043) 간단 분석
5 min read
일주일전에 PHP FPM 취약점 관련 내용 및 PoC가 공개되었습니다. RCE가 가능하고, PoC가 워낙 잘 나온 케이스라 아마 대다수가 긴급으로 대응하지 않았을까 싶습니다.
CPDoS(Cache Poisoned Denial of Service) Attack for Korean
4 min read
최근에 CPDos에 대한 이야기가 핫합니다. HTTP Desync Attack 때 이미 경험했던 부분이지만, 여러모로 이슈화 되다보니 일적으로나 개인적으로나 테스트를 좀(강제로..) 해보게 되었네요.
Find Subdomain Takeover with Amass + SubJack
1 min read
Subdomain takeover was once a very popular vulnerability. It’s still constantly being discovered. Of course, there are so many hackers running automated code that it’s hard to actually find it. but you’ll find it with lucky. and from the corporate security point of view, you have to check it out. so i share it.
Golang 으로 만든 웹 어플리케이션 Heroku에 배포하기
1 min read
요즘 공부도할겸 golang 으로 끄적끄적 만들어보고 있는게 있습니다. 그 중 일부는 웹 환경으로 구성하고 heroku에 띄울 생각인데, 루비처럼 사전에 세팅이 필요한 부분들이 있어서 내용 정리해둡니다.
jwt-cracker를 이용한 secret key crack
~1 min read
JWT는 내용에 대한 서명을 내용 뒤에 붙여주어 위변조를 감지할 수 있습니다. 간혹 secret이 간단하게 설정된 경우에는 secret을 찾고 변조된 JWT를 만들 수 있는데, 이를 인증에 사용하거나 중요 로직에서 데이터를 읽어 사용하는 경우 큰 보안적인 리스크를 가지게됩니다.
Bypass referer check logic for CSRF
2 min read
Referer header check is probably the most frequently used CSRF countermeasure. It’s easier to implement and less performance issues than the token approach, so it’s the preferred approach, and that’s the some risk for bypass.
New Technic of HTTP Desync Attack
~1 min read
After the HTTP Desync Attack announcement, the bugbounty hunters and corporate security personnel seem to be very busy. Albino recently announced that he would be writing additional articles, and new post were posted on the portswigger blog.
If you find powerful OXML XXE tool? it’s “DOCEM”
3 min read
XXE 테스트 시 쓸만한 도구 하나 찾아서 공유드립니다. 직접 노가다하거나 기존에 공개됬던 툴보단 훨씬 편리할 것 같습니다.