hahwul

Offensive Security Engineer, Rubyist/Crystalist/Gopher and H4cker

Posts - Page 45 of 86

Bypass SSRF Protection using HTTP Redirect

1 min read

오늘도 SSRF 우회 패턴 정리해봅니다. 자주 쓰던 방법 중 하나인데 최근에 제대로 먹혀서 기분이 좋네요. 별다른건 아니고 HTTP Redirect를 이용한 우회 방법입니다.

Compiler Bomb!

1 min read

Compiler Bomb라고 들어보셨나요? 취약점 분석 하다가 알게된 부분인데, 종종 상황에 따라 테스팅이 필요할 수도 있어서 간략하게 정리해둡니다.

Custom Scheme API Path Manipulation과 트릭을 이용한 API Method 변조

2 min read

앱을 테스트 하다보면 Custom Scheme에서 발생한 API 요청 중 일부에 대해 주소 변조나 API 로직을 바꿀 수 있는 부분이 있을 때가 있습니다. 다만 실제로 중요한 요청들은 RESTful 하다면 POST/PUT/DELETE 등으로 구현되는데요. 웹을 컨트롤할 수 있는 앱 스킴들은 보통 GET 요청으로 강제되기 때문에 우리를 불편하게 하곤 합니다.