전체 글
-
[Portswigger Top 10 web hacking techniques of 2021] - 10 Fuzzing for XSS via netsted parsers 리뷰Web Vulnerability 2022. 3. 7. 02:19
Refer : Portswigger Top 10 web hacking techniques of 2021 https://swarm.ptsecurity.com/fuzzing-for-xss-via-nested-parsers-condition/ 2022년 2월 9일에 burp suite를 개발한 portswigger에서 정리한 2021년도 web hacking 기술 top 10 글이 올라오게 되었다. 봐야겠다는 생각만 하고 실제로 보지는 않아서 이번 기회에서 top 10 기술을 하나씩 공부해보며 흥미있었던 점을 중심으로 리뷰를 적어보려고 한다. Fuzzing for Xss via netsted parsers 는 top 10에 선정된 취약점으로 각각의 parser 자체는 안전하다고 하더라도 , parser가 함께..
-
Los(Lord of the SQLI) ALL CLEARWargame 2022. 3. 4. 03:07
https://los.rubiya.kr/ lord of sql injection은 sql injection을 공부하거나 웹 해킹을 공부하는 사람이라면 꼭 풀어봐야 할 워게임 사이트이다! 제왕(lord)라는 이름 답게 다 풀고 나면 sql injection에서 만큼은 숙련도가 확실히 달라진다. 맨 처음 sql injection을 접한 것은 https://webhacking.kr/ 에서 였는데 , webhacking.kr 에서도 sql injection 문제가 많았지만 sql injection과 기본 DB에 대한 이해가 부족했었고 단순히 인터넷 검색을 해보며 ' or 1=1 # 이런 구문만 의미없이 대입해 보던 기억이 난다. ㅎㅎ sql injection에 대해서 직관을 얻게 된 것은 "구문에 맞게 오류를 ..
-
[NAVER Bugbounty Award 2021] 네이버 버그바운티 어워드 2021 참관 후기BugBounty 2022. 2. 17. 11:30
네이버 버그바운티(https://bugbounty.naver.com/ko/)는 2019년 이전 까지는 KISA를 통해서 취약점을 제보받다가 2019년부터 네이버 자체에서 운영하게 되면서 올해로는 2020년 , 2021년 어워드 즉 2번째 어워드를 개최했으며 작년에는 수상자를 대상으로 오프라인 , 올해는 코로나로 인해 버그바운티에 참여하게 된 모두를 대상으로 하여 진행하게 되었다. [2021년 네이버 버그바운티 명예의 전당 + Special Contributor] https://bugbounty.naver.com/ko/halloffame_2021 12월 말에 가까울 때쯤 reflected xss 관련 취약점을 제보하게 되어 Special Contributor 마지막을 장식하게 되었는데 , 아쉽게도 Spec..
-
Welcome to My Blog : )카테고리 없음 2022. 1. 18. 22:45
[Mainly used nickname]PecentZero (not PercentZero) [Intrested In]Webhacking (especially in XSS)Open Source Software Vulnerability Detection also studying other categories (reversing, pwnable) [OngoingProject]BWASP(The BoB Web Application Security Project) as BoB 10th project.- To help Who want to find web vulnerability by passive analysis GitHub(python version): http://github.com/BWASP/BWASPGi..