Web
CSS Injection이란
최근에 웹 공부 중에 NGA님꺼 블로그 보고 정리해봤습니다 https://ngaa.tistory.com/2?category=684400 CSS Injection이란 -> 사이에 아무런 검증이 없고 값을 추가할 수 있을 때 임의의 주소에 요청을 보낼 수 있는 것이다. 웹은 뭔가 사용자의 input벡터를 먼저 다 찾고 sanitizer가 없으면 웬만하면 취약점인듯 바이너리는 최소한 stack canary같은 gcc가 알아서 보호기법도 걸어주고 하는데 어지럽다. POC
Pwnable/Kernel exploit
Dirty Pipe를 공부해보자
1. 보안프로젝트 스크랩 https://redhuntlabs.com/blog/the-dirty-pipe-vulnerability.html 2. hacky-boiz https://hackyboiz.github.io/2022/03/10/l0ch/2022-03-10/ 3. Original POC https://github.com/Arinerron/CVE-2022-0847-DirtyPipe-Exploit
Memo
잠 안 올 때 쓰는 일기
잠이 안 온다. 왜 안 오는지 생각해보니 머릿속에 생각이 많은듯 생각이 많은 이유는 하고싶은게 있거나 과제가 있기 때문. 생각해보니 또 다른 이유가 있다. 낼 등교날임^^ 과제는 각잡고 하면 금방 끝날거 같은데.. 하고싶은 일은 금방 끝나지 않는다. 또 폐관수련 해야된다.. 오늘 엄마아빠한테 이번 산학협력연구 6월에 연구 종료와 2학기 휴학선언과 함께 kitri BOB에 대해 설명해줬다. 쓰리콤보를 날려버려서 BOB가 뭐하는건지 구체적으로 설명했어야했다. 그럴싸한 계획을 설명하다보니 지금까지 한거에 대해서 말했어야 됐는데, 보안 공부 이제 14개월차이지만 아직 뉴비라는게 슬펐다. 최근에 방을 이리저리 옮기느라 정신도 없었고 슬럼프도 왔었는데 이젠 진짜 각잡고 댜시 해야될듯 아무래도 설날 때 AFL이랑 v..
Pwnable/Browser exploit
[ JSC ] JavaScript Core Exploit 공부 자료 모음
Kernel exploit에 비해 JavaScript Core exploit 자료(한국어로 된) 찾기가 매우 힘들다. 몇 개 찾아놓은 자료들을 적어가면서 공부해보겠다. 1. Live Overflow님꺼 동영상 2. 라온화이트햇 핵심연구원 1-day 분석 3. Bashi님 CVE분석(환경세팅 방법 있음) 4. Browser_pwn github( v8, jsc의 CVE & CTF 코드 있음 ) 5. 추가예정
Pwnable/Fuzzer
AFL++논문 리뷰 (오픈소스)
논문 원본: https://www.usenix.org/system/files/woot20-paper-fioraldi.pdf 참고자료: 1. https://doongdangdoongdangdong.tistory.com/229?category=970406 [USENIX] AFL++: Combining Incremental Steps of Fuzzing Research https://www.usenix.org/system/files/woot20-paper-fioraldi.pdf 의 내용 정리 1.1. New Baseline for Fuzzing: AFL++ 1.1.1. Seed Scheduling AFL++에서는 AFLFast를 포함하고, AFLFast에서 제시한 ‘power sc.. doongdangdoon..
프로그래밍
LSP_01_SINDEX
보호되어 있는 글입니다.
