Web
[ Web ] 웹린이 시점에서 prototype pollution알아보자
근황 최근에 학교 프로젝트 덕분에 간단한 server client가 통신하는 웹 페이지를 만들어야 했습니다. 웹에 무지랭이었던 저는 하루 날 잡고 node js를 공부했습니다. 지금껏 포너블 문제만 풀었던 저는 현실을 깨닫고 이제야 웹을 시작하는 웹린이로 다시 태어났습니다. 웹 공부 계획은 이렇습니다. 1. 웹 개발 기초 공부 2. Wargame 및 대회 문제 풀이 3. CTF 4. Bugbounty 5. To be Real Hacker 공부 방법은 포너블때처럼 대부분 탑 다운 방식으로 할 것이며 난이도 있는 문제들 위주로 개념학습 후 라업을 해석해가면서 취약점이 Trigger될 상황을 기억해가는 방식으로 공부할 예정입니다. 잘못 된 내용이 있을 시에 도움 부탁드립니다. 프로토타입 오염을 알아봐야 하는데..
War Games/dreamhack
[ Dreamhack ] Dreamboard 꼼꼼 분석
보호되어 있는 글입니다.
프로그래밍
[ 오픈소스 고급 설계 과목 프로젝트 자료 모음]
보호되어 있는 글입니다.
War Games/ctf-review
[ H4C Game ] 웹 풀어보기
1. my_secret - php unserialize취약점도 아닌듯 - php unserialize취약점 트리거 조건을 만족하지 않는다. 1. 매직 메소드를 구현한 클래스가 있어야 함 2. 모든 클래스는 취약한 unserialize()가 호출되기 전에 선언되어야 한다. - 그냥 객체를 새로 만들어 줄 수가 있는데 이것으로 $obj->key == I_am_robot 여길 우회해야 한다. - 느슨한 비교를 우회 해야된다. - 아래와 같이 poc를 만들어 보니까 되서 리모트도 됐다. - 이참에 느슨한 비교와 엄격한 비교를 공부해보자. - 공부할게 없다 이 표를 참고해서 알잘딱깔센으로 페이로드 만들면 된다.
Web
[ Nodejs ] ejs로 html뿌려주기
보호되어 있는 글입니다.
프로그래밍
[ Docker ] 도커로 로드밸런싱한 서비스 배포하기
1. 로드밸런싱이란? - 로드밸런싱이란 클라이언트가 많아졌을 때를 대비해 하나의 대표 서버를 두고, 대표 서버 뒤에서는 각자의 역할만을 하는 서버를 여러대 두는 것입니다. - 아래의 gif를 보시면 한번에 이해될 것 입니다.(gif설명이 너무 좋아서 가져왔습니다) - 즉, 하나의 서버만을 이용하면 과부하가 걸려 요청을 받을 수 없게 되거나 서비스가 느려집니다. 이를 방지하기 위해 로드밸런서가 요청을 분담하거나 구별해 일을 나누어 처리하는 것입니다. 2. 도커를 이용한 로드밸런싱 실습 - 먼저 저는 Windows에서 로드밸런싱을 실습하기 위해 Docker Desktop과 node.js을 이용하였습니다. - "npm init"을 하여 package.json을 생성한 뒤에 웹 페이지와 도커 컨테이너를 만들어 ..
