annyoung

오픈마켓에서는 제품 생산이 종료되어 2배가 넘는 거래가 형성되고, 중고나라에서는 매물 검색하니 1개도 없이 다 팔렸다. 그래서 하는 수 없이 공유기 산다고 글 올렸는데, 10분도 안돼서 5명한테 연락온 것 같다. 얘기하다 보니 같은 아이폰(아이메시지)을 사용해서 선호도가 +1 올라갔고, 카페 내 거래내역도 깔끔해서 선호도 +1, 카카오톡 실명인증 되어 있어서 선호도 +1, 카카오톡 실명인증 이름과 계좌번호가 일치 +1, 더치트랑 경찰청 사이버캅 피해 0건으로 선호도+3. 극호감이여서 그냥 8만원 송금하고 쿨거래했다. (솔직히 이정도면 정황상 무조건 이사람이랑 거래해야 한다고 가리키고 있었다 ㅋㅋㅋ) 그러다가 마지막에 연락온 사람이 문자로 6만원에 주겠다고 하길래 와 여기에 할껄! 하다가도 전에 거래한 사..

오랜만에 모의해킹을 진행했는데 재미있는 취약점이 발견됐다. Open redirect 취약점인데 좀 다른 느낌의 취약점이고, 계정 탈취까지 되는 취약점이였다. 처음엔 CRLF 인젝션이 될까? 하고 %0d%0a 넣고 이런저런 삽질을 해봤는데 아쉽게도 CRLF 인젝션은 안되더라.. # 로그인 프로세스 1. 로그인 페이지 접근 및 요청 - (공격 벡터1) callback URL과 이전 페이지로 돌아가기 위한 파라미터 returnUrl이 포함되어 있음 2. A 페이지로 로그인 시도 및 returnUrl 파라미터가 담긴 callback URL 전달 - (단서1) callback URL의 domain name, scheme를 여기서 검증 하고 있음 3. 로그인 성공이면 callback URL 뒤에 임시 토큰을 no..

오랜만에 일도 끝났겠다. 유튜브를 틀었는데, 그것이 알고싶다(링크)를 했다. 컴퓨터에 관련되면 또 못참치... 본인도 코인 투자로 인해 잃고 잃었었는데 투자해서 잃은거라 마음이 아파도 내가 잘못한 선택이니 어쩔 수 없다는 마인드였다. 그런데, 자의적 판단이 아닌 사진도용으로 인해 환전사기를 당했다는게 중요한 것 같다. 과거에 메이플도 사기당하면 손이 덜덜덜 떨렸었는데, 평생 내가 먹고 싶은거 못 먹고 입고 싶은거 못 입어가면서 모았던 자금이 한순간에 멍청한 실수로 인해 돈을 날렸다고 생각하면 정말 억장이 와르르다... (당하신 분들에게는 애도를 표한다...) https://blog.naver.com/lovesomuch123/222378489176 viptalk188.com 채팅환전사기 사이트 vip 고객..

소위 말해 도메인 구입 없이 가라 도메인으로 ssl 적용하는 방법에 대해서 설명한다. 해당 방법은 개발 보다는 모의해킹할 때 사용하면 좋을 것 같다. 127.0.0.1 example.com 우선 /etc/hosts를 위와 같이 수정해서 도메인과 아이피를 매핑시킨다. openssl req -x509 -out example.com.crt -keyout example.com.key \ -newkey rsa:2048 -nodes -sha256 \ -subj '/CN=example.com' -extensions EXT -config { https.createServer(sslOptions, app).listen(443); resolve(); }).then(() => { console.log('[*] SSL Ser..

https://github.com/stephencookdev/speed-measure-webpack-plugin GitHub - stephencookdev/speed-measure-webpack-plugin: ⏱ See how fast (or not) your plugins and loaders are, so you can optimis ⏱ See how fast (or not) your plugins and loaders are, so you can optimise your builds - GitHub - stephencookdev/speed-measure-webpack-plugin: ⏱ See how fast (or not) your plugins and loaders are, s... github...

우선 글을 작성하기전, 스미싱 보다는 불법 금융? 광고에 해당한다. (근데 그렇다고 금감원에서 고지하는 불법에 해당하는건 아닌것 같더라.) 2021년 10월 17일에 키보드를 해외구매로 구매했는데, 때마침 통관번호오류 문자를 받았다. 해당 단축 URL은 카카오에서 제공하는 QR코드 내프로필 공유 서비스로 이동된다. 카카오에서 제공하는 QR코드 사진을 스캐너에 읽혀보면, URL 링크가 하나 뜨는데 해당 링크를 단축 URL을 통해 이동시킨다. qr.kakao.com 도메인으로 넘어가서 카카오는 딥링크(intent url)를 통해 카카오 QR코드 서비스를 실행시키고 프로필 보기 페이지로 넘어간다. 여기서 마주하는 프로필은 CJ물류보관센터라는 프로필인데 여기서 프로필 변경 히스토리를 보면 사진 변경 시간이 30..

오늘 친구 하나가 검찰청 사칭 보이스피싱에 걸릴뻔 했다. 검찰청 내부 아이피 주소 불러줄테니 들어가서 접속하라고 했나보다. 우선 기본적인 정보는 보이스피싱을 진행하기 전에 정보 수집이된 것으로 판단된다. 친구와 보이스피싱간의 녹취록을 들어보면 이름, 생년월일, 자택 주소(?) 또는 주변 주소지에 대해서는 아는것 같다. 내 친구는 지금 광명에 거주하고 있는데, 철산 우리은행?에 방문하신 적이 있느냐? 라고 물어봤기 때문이다. 그리고 이것 외에도, 아이폰을 사용하고 있느냐라고도 물어보았다. 안드로이드의 경우 apk를 설치하면 되지만 아이폰의 경우 프로파일 설정을 통해 다운받거나 해야되기 때문인듯. 알려준 아이피의 서버 위치는 미국 시애틀에 있다. 클론으로 만들어진 대검찰청 피싱 사이트는 위와 같은 기술 스택..

오늘 기나긴 삽질 끝에 내 블로그도 드디어 다크모드를 지원한다! (근데.. 컬러 매치가 힘들고 무료 아이콘이라 못생겼다..) 그나저나 컬러 밴치마킹은 유튜브 다크모드를 참고했다. 코드 표에서 우측 하단의 [monokai-sublime] 텍스트를 클릭하면 컬러 하이라이팅이 바뀐다! highlight.js 홈페이지에서 style 찾다가 영감을 받아 블로그에도 집어 넣었다. 이제 당분간 블로그는 더 이상 변경하지 않을 예정이다!

너무 못생긴 티스토리 레이아웃을 언젠간 뜯어 고쳐야지 고쳐야지 하다가, 옛날에 같이 일했던 외국인 친구한테 추천해달라고 이것저것 물어보고 그래서 이것저것 바꿨다. 블로그 제목은 내가 Hey + 추천해달라로 대화 걸었는데 annyoung으로 대답와서 그냥 annyoung으로 정했다! 사진은 그냥 내 사진 걸라고해서 깃헙에 있는 사진 가져왔다. 뒷배경은 치킨 보내주길래 괜찮은 것 같아서 그냥 치킨했다. 이에 영감 받아 데스크탑 커서를 닭다리로 바꿨다. 레이아웃은 처음부터 짜기는 막막해서 그냥 티스토리 기본 스킨에서 커스텀했다. 기존엔 코드 하이라이팅이 안되는 더러운 테이블에서 github 마크다운 css를 입히고 티스토리 게시글 작성할때 사용하는 화면이 마음에 들어서 게시글 작성을 기준으로 깔끔한 블로그 느..

docx에서 pdf로 변환하는 API를 만들고 있는데, 여러 이슈가 발생했다. 첫 번째로, docx 생성을 위해 tmp 디렉토리에 접근이 불가능한 에러가 발생했다. (/tmp/가 아닌 실행 경로의 ./tmp이다.) PermissionError: [Errno 13] Permission denied: 'tmp/17b2e17c-17ed-4a02-8a3b-e9a9e5e17758.docx' 이 이슈는 uwsgi가 www-data 권한으로 돌아가고 있기 때문인데, ./tmp는 root:root로 설정되어 있기 때문에 골머리 썩기 싫기 때문에 uwsgi 돌리는 권한을 root 퍼미션으로 줬다. 그리고, libreoffice와 관련된 모든 파일들도 root 권한으로 설정되어 있기 때문에 어쩔 수 없이 uwsgi 권한도..