어제 블로그를 https로 변경 후 소소한 문제가 찾아왔습니다. 바로 js, css 등 리소스들의 주소가 https로 강제 치환되고 덕분에 https가 없는 곳에서 불러온 파일들은 로드되지 않아 일부 기능이 동작하지 않았었죠.

퇴근길에 트위터보다가 재미있는 XSS 페이로드 찾아서 글 작성합니다. 요즘 바쁘고 두통도 심하고해서 신경 못쓰나 싶었는데, 또 이런글 보고 이러면 아픈것도 사라지네요. 자 빠르게 시작하죠.

구글은 예전에 자사 블로그 서비스인 Blogger에 https 적용을 지원했습니다. 이는 .blogspot.com 하위의 도메인만 가능했었는데, 최근 커스텀 도메인에 대해서도 https를 지원해주게 되었습니다.

잠깐 시간내어 간단하게 글 작성합니다. docker 컨테이너 내부로 접근할 떄 보통 exec 명령으로 /bin/bash, /bin/sh를 호출하는 경우가 많습니다. 테스트 하다보니 권한 관련해서 좀 신기한게 있었네요. (물론 지나서 보면 별거 아니였습니다)

최근 oioi로 부터 XSS 페이로드를 하나 공유 받았습니다. 특이한 부분이 2가지가 있는데, 내용 한번 살펴보도록 하겠습니다.

언어 자체에 대한 글을 쓰는건 굉장히 오랜만인 것 같습니다. 오늘은 루비의 심볼에 대한 이야기를 하려합니다.

WASE를 만들면서 MITM Proxy로 트래픽을 수집하는 서버를 만들었는데요, 이 과정에서 알아봤던거랑 기반(?)이 되었던 심플한 저의 코드 관련해서 글 작성합니다.

웹 코드에서 주소를 사용할 때 double slash(//)를 많이 사용하시나요? 요즘은 대체로 double slash를 많이 사용하는 것 같습니다. 아무런 생각없이 사용하면서 정작 http:// , https:// 와 같이 프로토콜 명시된 경우와 단순하게 double slash로 구성된 주소의 차이에 대한 궁금증을 가지지 않았었네요.

최근에 Facebook의 Stored XSS 취약점 관련 버그바운티 리포트가 올라왔습니다. og tag를 이용해서 xss까지 진행된 케이스인데, 생각보다 조금 의외의 내용이라 글로 공유합니다.

간만에 XSS Vector로 포스팅합니다. 최근에 나온 기법은 아니고, 좀 오래된거긴 하지만.. 모르고있었네요 =_=