일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 보이스피싱 #대검찰청 #명의도용 #비밀번호 #계좌번호 #공공기관 #가짜검찰청
- self-signed
- XSS
- 변태는
- Malware Sample
- sha256
- NUGU
- 척추관협착증
- 취약점
- react
- shell_gpt
- MongoDB #NoSQL #CreateUser #DropUser #mongod #mognod.conf
- hash
- 스캠
- esbuild
- open redirect
- 로맨스스캠
- CryptoJS
- CJ대한통운 #쿠팡 #통관번호오류 #통관고유번호오류 #안주원팀장 #모건인베스트
- 채팅환전사기
- https
- 모의해킹
- 허리디스크
- decrypt
- ssrf
- md5
- 사진도용
- speed-measure-webpack-plugin
- Craco
- 많다..
- Today
- Total
목록Repository (211)
annyoung
var old_cookie = document.cookie; Object.defineProperty(document, 'cookie', { get: function() { console.log('Getting cookie'); return this._value; }, set: function(val) { console.log('Setting cookie', arguments); this._value = val; return this._value; } }); document.cookie = old_cookie; javascript에서 object에서 getter와 setter를 사용할 수 있는데, 이를 통해 cookie 리시버를 할 수 있지 않을까 생각해보았는데 실제로 코드가 존재했다. https://st..
모의해킹 용도로 Insomnia API를 사용하는데, 크롬에서 복사한 Copy As cURL을 Insomnia API에 붙여넣으면 multipart/form으로 선언 되지만 param, value는 들어가지 않는다. 그래서 너무 불편해서.. Insomnia API에서 사용하는 multipart/form에 맞춰서 curl을 다시 생성한다. import re import pyperclip result = [] lines = pyperclip.paste().split('\n') print('\n'.join(lines[0:-2])) for idx, line in enumerate(lines): # throw the --compress option if line[2:].startswith('--data-raw')..
시간이 지나면서 해킹에 있어 XSS는 가지각색의 케이스가 있으며 다양한 이름으로 불린다. 대부분 서버에 저장되어 발생하는 저장형(Stored XSS)과 저장되지 않고 클라이언트 HTML에만 반영되는 반사형(Reflected XSS)으로 나눌 수 있으며, 여기서 더 상세하게 나눠보면 파라미터 입력값 파싱을 위해 클라이언트 JS에서 반영되어 발생하는 DomXSS, 더 나아가서 XSS가 발생했는지 여부를 모르는 경우 Blind XSS라 칭한다. 이를 방어하기 위해서는 필자가 생각하기엔 다음과 같은 두가지 방법이 있다. 1) 애초 당시에 XSS를 방지하기 위해서 입력되는 모든 값에 대해 HTML이 반영되지 않도록 Entity Character로 변환하는 과정을 거쳐야 한다. 는 >로 치환하여 클라이언트 사이드에..
가끔 영화나 애니메이션을 무료로 볼 수 있다며, 광고를 하는 사이트들이 있다. 과연 이 사이트들이 진짜인가? 라는 의문이 들어 확인해봤다. 그냥 생각나는 걸로 검색해보니 위와 같이 게시글 제목부터 사짜냄새가 난다. 마치 ㅂrㅋrㄹr.. 같은 느낌..? 접속하면 위와 같은 게시글이 나오는데, 파란색 글씨로 쓰여진 링크로 들어가본다. 영상 속 썸네일은 정상 같으나, 재생을 시켜본다. ??? 주술회전이면 애니메이션인데.. 20세기 폭스의 인트로가 나온다..? 마치 서양 영화를 볼 것 같은 느낌이다. 그럼 과연 이 비디오는 뭘까? 영상을 재생하면서 발생된 동영상의 근원지로 찾아가본다. 초기 인트로가 똑같고, 30초 이후로는 까만 배경으로 영상이 재생되지 않는다. 무려 1시간 59분까지 말이다. 그럼 여기서 나오..
frida-ps -Uai 위 명령어로 프로세스 목록 출력해주고, frida --codeshare federicodotta/ios13-pinning-bypass -U -U 파라미터 뒤에는 프로세스 아이디 넣어서 attach한 후 %resume 사용하면 된다.
오픈마켓에서는 제품 생산이 종료되어 2배가 넘는 거래가 형성되고, 중고나라에서는 매물 검색하니 1개도 없이 다 팔렸다. 그래서 하는 수 없이 공유기 산다고 글 올렸는데, 10분도 안돼서 5명한테 연락온 것 같다. 얘기하다 보니 같은 아이폰(아이메시지)을 사용해서 선호도가 +1 올라갔고, 카페 내 거래내역도 깔끔해서 선호도 +1, 카카오톡 실명인증 되어 있어서 선호도 +1, 카카오톡 실명인증 이름과 계좌번호가 일치 +1, 더치트랑 경찰청 사이버캅 피해 0건으로 선호도+3. 극호감이여서 그냥 8만원 송금하고 쿨거래했다. (솔직히 이정도면 정황상 무조건 이사람이랑 거래해야 한다고 가리키고 있었다 ㅋㅋㅋ) 그러다가 마지막에 연락온 사람이 문자로 6만원에 주겠다고 하길래 와 여기에 할껄! 하다가도 전에 거래한 사..
오랜만에 모의해킹을 진행했는데 재미있는 취약점이 발견됐다. Open redirect 취약점인데 좀 다른 느낌의 취약점이고, 계정 탈취까지 되는 취약점이였다. 처음엔 CRLF 인젝션이 될까? 하고 %0d%0a 넣고 이런저런 삽질을 해봤는데 아쉽게도 CRLF 인젝션은 안되더라.. # 로그인 프로세스 1. 로그인 페이지 접근 및 요청 - (공격 벡터1) callback URL과 이전 페이지로 돌아가기 위한 파라미터 returnUrl이 포함되어 있음 2. A 페이지로 로그인 시도 및 returnUrl 파라미터가 담긴 callback URL 전달 - (단서1) callback URL의 domain name, scheme를 여기서 검증 하고 있음 3. 로그인 성공이면 callback URL 뒤에 임시 토큰을 no..
오랜만에 일도 끝났겠다. 유튜브를 틀었는데, 그것이 알고싶다(링크)를 했다. 컴퓨터에 관련되면 또 못참치... 본인도 코인 투자로 인해 잃고 잃었었는데 투자해서 잃은거라 마음이 아파도 내가 잘못한 선택이니 어쩔 수 없다는 마인드였다. 그런데, 자의적 판단이 아닌 사진도용으로 인해 환전사기를 당했다는게 중요한 것 같다. 과거에 메이플도 사기당하면 손이 덜덜덜 떨렸었는데, 평생 내가 먹고 싶은거 못 먹고 입고 싶은거 못 입어가면서 모았던 자금이 한순간에 멍청한 실수로 인해 돈을 날렸다고 생각하면 정말 억장이 와르르다... (당하신 분들에게는 애도를 표한다...) https://blog.naver.com/lovesomuch123/222378489176 viptalk188.com 채팅환전사기 사이트 vip 고객..
소위 말해 도메인 구입 없이 가라 도메인으로 ssl 적용하는 방법에 대해서 설명한다. 해당 방법은 개발 보다는 모의해킹할 때 사용하면 좋을 것 같다. 127.0.0.1 example.com 우선 /etc/hosts를 위와 같이 수정해서 도메인과 아이피를 매핑시킨다. openssl req -x509 -out example.com.crt -keyout example.com.key \ -newkey rsa:2048 -nodes -sha256 \ -subj '/CN=example.com' -extensions EXT -config { https.createServer(sslOptions, app).listen(443); resolve(); }).then(() => { console.log('[*] SSL Ser..
https://github.com/stephencookdev/speed-measure-webpack-plugin GitHub - stephencookdev/speed-measure-webpack-plugin: ⏱ See how fast (or not) your plugins and loaders are, so you can optimis ⏱ See how fast (or not) your plugins and loaders are, so you can optimise your builds - GitHub - stephencookdev/speed-measure-webpack-plugin: ⏱ See how fast (or not) your plugins and loaders are, s... github...