hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 38 of 86

OWASP Amass - DNS Enum/Network Mapping

1 min read

OWASP Amass는 OWASP에서 go로 만든 DNS Enum, Network Mapping 도구이자 Project입니다. Recon, OSINT 도구로 보시면 될듯하고 성능은 아직 체감상 느껴지진 않으나 지원하는 기능의 범위가 넓어서 활용도가 높은 프로그램으로 생각됩니다.

Bypass blank,slash filter for XSS

1 min read

⚠️ XSS에 대한 전반적인 내용은 Cullinan > XSS 페이지에서 관리하고 있습니다. 해당 페이지에서 최신 데이터가 유지되니 참고 부탁드려요 :D

JSONP Hijacking

3 min read

Hi hackers. It’s a long time I didn’t write blog post. I found JSONP Hijacking a not SOP case. I’m going to briefly explain it. 오랜만에 SOP우회가 아닌 JSONP Hijacking 발견해서 간략하게 내용 풀어봅니다.

Event handler for mobile used in XSS (ontouch*)

~1 min read

Some event handlers do not appear in the OWASP list. It is a touch event like ontouch*. It is a limited item on mobile devices, so it has a less effective effect than general purpose, but it is a good item to trigger XSS.

HTTP Request(ZAP, Burp) Parsing on Ruby code

1 min read

XSpear 관련해서 이런 건의사항이 하나 있었습니다. Burp, ZAP 등에서 사용하는 패킷 데이터를 파일로 저장한 후 옵션을 주어 읽으면 자동으로 URL, Header 등을 파싱해서 사용하는 형태를 말씀하신 것 같습니다.(마치 sqlmap의 그것 처럼)