Web Pentesting

출처 - SECUINSIDE 2017, rubiyagroup bymulti result rowsblind sql injectionDuplicate EntryXPATH syntax errorBIGINT value is out of range inConversion err

오픈 소스 자바스크립트 난독화 도구인 JavaScript obfuscator의 동작 원리를 분석해보았다.꽤나 유명한 도구이기도 하고, 이를 통해 난독화 기법 및 자바스크립트 동작 원리를 더 잘 이해할 수 있을 것이라 기대했다. 온라인 버전(https://obf

NAVER DEVELOPERS에서 개발한 XSS 필터인 lucy-xss-servlet-filter를 분석해보고자 한다.분석하는 이유는 Naver Bugbounty에서 XSS를 찾아보려고 했으나, 실패했기 때문이다..\+) 추가 : 분석한 내용을 활용해서 XSS 성공했다

CSS Injection이란 HTML에서 문서의 꾸미기를 담당하는 CSS 부분에 내가 원하는 코드를 삽입하는 기술이다.CSS Injection이 그나마 잘 알려지지 않은 기술이고, 기법 측면에서 흥미로운 것들이 좀 있어서 정리를 해보려 한다.공격 방법은 XSS 공격과

신용정보 데이터를 조회하는 페이지sidx 쿼리롸 sord 쿼리를 조작했을 때에 에러메시지 발생.ORA-00933 : ORACLE DB임을 알 수 있음.찾았다 야호!동작 원리를 조금 더 자세히 보면, sidx와 sord가 짝을 이루어 정렬을 하는 역할로 동작한다. 따라

SOP, CORS를 공부하면서 어떤 개념인지도 대충 알 것 같은데,"그래서 이게 왜 필요해? 보안적으로 무슨 의미가 있어??"라는 의문이 들었다.이 포스팅에서는 그 내용에 대해 정리한다.기본 개념은 아래 링크를 참조하면 이해가 잘 될 것이다.(정말 좋은 글!)https

jsonp 간단 정리출처 : https://ngio.co.kr/9615, https://dreamhack.io/learn/1/18SOP를 우회하여 '다른 출처'로부터 데이터를 주고 받는 방식.결국에 JSON 형태의 데이터를 받는 것이 목적임.서버 측에

분명히 같은 obj라고 생성했는데,obj2는 JSON.parse를 이용했고, obj3은 직접 지정했다.이 둘은 결과가 다르다. 아래 코드를 보자.정상적인 object는 아래와 같이 생겼다.object의 \_\_proto\_\_를 다른 문자열로 강제 지정하면,브라우저 내

원리에 대한 내용보다는 실제 필요한 내용만 간단하게 정리.python pickle 모듈은 data serialize에 쓰는 모듈이다.serialize란 class나 function 등을 문자열의 형태로 바꿀 수 있는 것이다.pickle의 간단한 사용법은 아래와 같다.취