annyoung

국세청을 사칭해 전자세금계산서 발급 메일을 안내하는 이메일 피싱이다. 피해자는 첨부된 파일을 다운로드받아 여는 경우 HTML로 작성된 다우오피스의 로그인 페이지를 만날 수 있다. (다행히 악성코드 등의 추가 행위는 없다.) 아이디 입력란에는 수신받은 피해자 이메일로 하드코딩 되어 있다.  몇 개만 간추려보자면 로그인 페이지는 다우오피스를 사용하는 다른 기업들의 css, img를 섞어서 만들었다. window.addEventListener("load", () => { function a(a) { return /^[^\s@]+@[^\s@]+\.[^\s@]+$/.test(a) } function b(a) { "Enter" === a.key && (a.preventDefault(), g...

대다수의 개발자들이 Swagger API Document를 이용해서 API 문서를 자동 또는 수동으로 정리하곤한다. 기본적으로 /swagger-ui/index.html을 사용하거나 /swagger/index.html을 사용해서 접근하곤 하지만.. 비인가자에 대한 외부 접근 차단을 위해 또는 사내 규칙 등으로 인해 의미없는 단어로 URL 라우팅을 변경한다. 예를 들어 /nopsled-swagger/view.html과 같이 수정해서 운영에 배포하는 경우가 존재한다. 그 경우엔 Swagger에서 사용하는 API에 대한 json 정보들이 담겨있는 api-docs를 찾아보면 가끔 나온다. 참고로 나는 Swagger를 발견하면 Swagger Authentication을 적용하라고 하는데.. 엔드포인트만 변경해놓고 ..