![]()
1. 소스코드 @Controller public class HelloController { @GetMapping("hello") public String helloMvc(@RequestParam("name") String name, Model model) { model.addAttribute("name", name); return "hello"; } } 2. 서술 Thymeleaf는 기본적으로 th:text 태그를 사용할 경우 입력값에 대하여 HTML Entity 처리가 자동으로 되는 모양이다. 갈수록 공격 벡터가 줄어드는 느낌이다. 하지만 개발자 입장에서도 해당 태그는 상당히 성가실 경우가 많을 것 같다. Thymeleaf 쪽에서도 이 사실을 인지하고 있는지 th:utext 라는 대안을 만들어두었다. ..
![]()
너무 미세팁인데 은근 모르는 사람이 많다. 어떤 정보를 막론하고 정보는 너무 포화 상태이다. 내가 원하는 정보를 한번에 찾기란 쉽지 않다. 예시를 보자. frida에서 구조체 접근에 대해서 검색을 하고싶다. 아래의 검색어로 검색을 해보자. How to attach struct in frida 결과값이 나오긴 하지만 내가 원하는 키워드가 포함된 게시물이 만족스럽지 않다. 아래의 검색어로 다시 검색해보자. How to hook "struct" in "frida" url:stackoverflow|git|tistory|velog 확연히 결과값에 대한 차이가 보인다. 구글 고급 검색 쿼리에는 확장자 포함, 특정 문자 및 사이트 제외 등 너무나 많은 옵션이 존재하지만, 역으로 너무 많은 조건을 달게되면 오히려 함정..
https://useegod.com/2022/09/28/nac/ Bypass NAC 3 min read Jun 21, 2022 CSS Injection UseeGod in CheatSheet useegod.com
![]()
HTML 내에서 자바스크립트를 활성화 시킬 수 있는 방법은 여러가지가 있다. 1. // 여기서 XSS 구문은 이런 형식으로 만들어 볼 수 있다. // > 5. setTimeout() / setInterval() >
![]()
Amass https://github.com/OWASP/Amass GitHub - OWASP/Amass: In-depth Attack Surface Mapping and Asset Discovery In-depth Attack Surface Mapping and Asset Discovery - GitHub - OWASP/Amass: In-depth Attack Surface Mapping and Asset Discovery github.com 별 다른 것은 없고 가이드 대로 쭉쭉쭉 복붙만 하면 된다. Sublist3r 검색 엔진 기반이라 모의해킹 시 매우 도움이 될 것 같다. 근데 왜 나는 결과값이 안나오지. 이건 우리 갓갓 형님 포스팅 참고하자. https://github.com/aboul3la/Sub..
![]()
MainActivity에서 프리다 탐지 로직을 로드 하고 있다. 음 소스코드가 되게 짧다. Android Developer에 검색해보자. https://developer.android.com/reference/java/lang/System#loadLibrary(java.lang.String) System | Android Developers developer.android.com 그으래요..... native library를 로드한다는 건 알겠는데... 사용법을 좀 검색해보자. 역시 킹갓 제너럴 형님들의 포스팅을 봐보자. https://re-build.tistory.com/7 [Android] 안드로이드 스튜디오에서 JNI 사용하기 이번 포스팅은 제가 이번에 프로젝트를 진행하면서 JNI를 사용해야 할 상..
