annyoung

5/8 오후 4시쯤 단방향내시경을 통해 추간판제거를 받았다. 처음엔 수면마취(아마 전신마취) 였던거 같은데, 삽관이 힘들어서 수술이 조금 딜레이 됐다. 아무튼 결국엔 삽관이 불가능해서 하반신마취로 진행했다. 마취를 했다고는 하는데 허리를 메스로 째는게 느껴져서 째는게 느껴진다 말했더니 조금 이따가 조금 더 허리를 쨌고 본격적인 수술이 시작됐다. 뭔가를 갈아내는 소리와 척추를 딱딱한 플라스틱 같은걸로 꾹꾹 누르는 느낌이 났고.. 아픈 통증보다는 뭔가 다리를 누르는 느낌 같았다. 그러다가 의사 선생님께서 신경과 유착된 부분들 이제 제거할거라고? 하시면서 다리가 아플거라고 하셨나 그랬던 걸로 기억하는데, 다리가 화 해지는게 느껴지고 저리면서 뭔가 편안한 느낌이 났다. 뭐랄까… 지금와서 기억하기로는 뭔가 돌로 ..

내일 단방향 수술하는 날인데 중간에 깰 것 같은 두려움 반 드디어 제대로 걸을 수 있을까하는 설레임 반이다. 우선 내가 두려움이 생기는 이유는 옛전에 대장내시경할 때 끝나기 5분전에 깨서 리얼타임으로 내 대장을 의사 선생님과 간호사분들과 함께 직관했기 때문에 혹여나 허리 구멍 뚫려 있는데 중간에 깨서 아픔 그대로 느끼고 그럴까봐 두려움이 있다.. 아무튼간에 무엇보다 단방향내시경과 양방향내시경의 차이는 바로 의사의 자유도에 있다. 단방향내시경의 경우엔 1cm 미만으로 허리를 째고 그 사이로 내시경과 수술도구가 들어가서 한 구멍에 같이 움직여야하는 부담감이 존재하고 무엇보다 불편한 점이 있다고 한다. 환자에게 이로운점은 바로 최소침습이라는 것인데, 구멍하나로 디스크를 제거하다보니 근육이나 인대 손상이 양방향..

난 대략 2014년도나 2015년도부터 허리가 약했던 것 같다. 가끔 출퇴근 하면서 요통을 겪었고 한의원에서 침을 맞거나 정형외과에서 물리치료를 봤었고 길어봤자 한달 이내에 어느정도 다 나았던걸로 기억을 한다. 나는 항상 출퇴근이나 누군가를 만나면 가방에 거의 항상 맥북 프로와 충전기를 들고 다녔는데 어쩔땐 노트북 가방에 넣고 어쩔때는 백팩에 넣어서 다녔다. 그 당시 아이폰4인지 아이폰6인지 썼었는데 배터리가 빨리 닳았고 나는 이게 마음이 많이 불안했었다. 그렇기에 노트북으로 충전을 하기 위한 용도도 있었으나 노트북으로 자질구레한 일들을 많이 할 수 있었기 때문이 더 컸던 것 같다. 그런데 맥북 프로 특성상 무게가 2.02kg이고 충전기는 대략 300g 정도는 되는거 같은데 2.3kg를 메고 복잡한 지하..

요즘 로또에 관해서 궁금해졌기 때문에 글을 써본다. 적어도 모든 번호가 홀수이거나, 짝수이거나, 1,2,3,4,5,6 처럼 연속된 숫자 등의 조합만 피하면 어느정도 당첨확률을 올릴 수 있지 않을까하고 생각했는데, 그런걸 제거해도 어느정도 많긴하다. 물론 깊게 생각하진 않았기 때문에 이런식의 접근 방식이 올바르지 않다고 생각되기도 하니 반대의 의견이 있다면 덧글 주시면 감사히 받도록 하겠습니다! (복권 구매자들이 몰려서 당첨금이 몰리는 경우도 존재하기도 하기 때문.. 등등) 모든 번호가 짝수나 홀수로 조합되는 경우실제로 모든 번호가 짝수로 조합되는 경우는 대략 22년(2002년~2024년) 동안 진행된 로또 1117회차 중 단 7건 밖에 해당하지 않았고 홀수로 조합되는 경우 또한 8건 밖에 해당하지 않았..

버프로 잡다보니 크롬 익스텐션이 자꾸 어디론가 로그를 보낸다. 여기에 포함되는건 referer가 보내진다는건데.. referer에 아이디나 비밀번호가 담겨있거나(거의 그럴일 없겠지만), 노출되어서는 안되는 비밀스러운 URL이 어딘가에 보내진다면..? referer에 아이디/비밀번호가 담길 일은 거의 없다보니 상관 없었는데 referer URL이 수집되고 있다는게 조금 꺼려졌다. 무슨 확장자인가하고 알아봤더니 웹 데이터를 ChatGPT로 요약해주는 그런 확장자인데, 데이터를 수집하거나 사용하지 않겠다고 했으나 개인정보처리방침을 보자. 번역을 돌려봤는데 IP 주소나 브라우저 정보를 수집하지 않는다라고 했는데, IP는 로그 보내는 URL에 요청보내면서 아이피가 수집될 수도 있을거고.. 브라우저 정보가 user..

브라우저 저장소는 크게 3가지로 document.cookie, localStorage, sessionStorage가 있는데, 데이터를 쉐어링하는 여부가 틀리다. 무슨 말이냐? 크롬 브라우저에서 네이버에 접속한 A탭에서 document.cookie와 localStorage, sessionStorage에 각각 a는 1이라는 데이터를 삽입하고 출력해보면 a=1 또는 a:1이라고 모두 잘 저장된걸 확인할 수 있다. 그런데.. 같이 네이버에 접속한 B탭에서는 document.cookie와 localStorage만 선언되어 있고 sessionStorage는 a:1이 없다.. 그렇다 localStorage는 각 탭과 데이터를 공유하지만, sessionStorage에서는 각 탭과 별개로 독립된 형태로 공유하지 않는 것..

개인적으로 느끼는게 SSRF가 pdf generator에서 많이 발생하곤 한다. pdf 파일을 vi나 xxd로 확인해보면 Chromium이거나, Skia/PDF인 경우 chromedriver에서 렌더링하기 때문에 XSS로 인해 SSRF가 많이 발생한다. 사이트 기능중에 pdf generator가 있다면 한번쯤 테스트 해보는걸 추천한다. 테스트 하는 방법은 다음과 같다. pdf generator에서 필요한 값에 위처럼 입력하면 fetch로 공격자 서버에 요청보내게 되어 SSRF가 발생하는걸 볼 수 있다.

이 글을 쓰는 이유는 모의해킹 하다보면 여러가지 프레임워크나 라이브러리 등을 만날 수 있는데, 번들링으로 인해 소스코드 디버깅이 힘든 경우가 매우 많다. vanilajs의 경우 그냥 Event Listeners에서 click 이벤트만 확인하면 끝이 나겠지만, 프레임워크나 라이브러리의 경우 Event Listeners에서 확인해도 번들링 되어 엉뚱한 곳으로 안내하기 때문에 디버깅이 힘든 경우가 대다수다. 그래서 생각해낸게 API context를 확인하여 Sources 패널에서 검색하면 이처럼 디버깅이 가능하다. 아무리 번들링이 되었더라도 API 전송할 때 브레이크 포인트 설정만 잘 해놓는다면 react의 redux던 vue의 vuex던 내 상태관리에 들어가는 값들을 맘대로 수정할 수 있다. 위 이미지를 예..

img 태그 자체를 빈 공백으로 치환하거나 보안장비에서 차단하는 경우가 있는데, 이럴 경우엔 image 태그와 함께 attribute를 섞어주면 된다. 파라미터에 처럼 쓰지 않고, 로 써주면 크롬에서는 페이로드가 잘 동작한다. view-source에서 보면 image로 잘 나와있지만, 요소검사로 확인해보면 img 태그로 반영되어 있고, 브라우저가 image를 해석할 때 img 태그로 치환해주면서 동작하는 것으로 보인다. 아마도 개발자들이 img를 쓰려다가 풀네임으로 썼다고 생각해서 치환해주는게 아닐까 하고 생각이 드는데 아시는 분 있으면 알려주심 좋겠다! + 추가 https://developer.mozilla.org/en-US/docs/Web/HTML/Element/image : The Image ele..

개요 개발하고 있는 서버 A,B가 있는데 A서버는 python@3.7.6에서는 돌아가지만 python@3.11.4에서는 돌아가지 않는다.하지만, B서버는 python@3.11.4에서 돌아가고 python@3.7.6에서는 돌아가지 않는 상황.. 따라서 필자는 파이썬 버전 관리가 필요하다고 생각했다. 설치 pyenv 설치 brew install pyenv .bash_profile나 .zshrc에 pyenv 활성화 하는 스크립트 추가 echo -e 'if command -v pyenv 1>/dev/null 2>&1; then\n eval "$(pyenv init -)"\nfi' >> ~/.bash_profile .bash_profile나 .zshrc 변경사항 적용 exec "$SHELL" pyenv를 이용해 ..