전체 글
2024년 복기, 2025년 새로운 목표 설정
정말 오랜만에 Tistory에 글을 써보는 것 같습니다. Layer7 과제를 위해 작성했던 글을 제외하면 2023년 글이 해당 블로그에서 마지막 글이였던 것 같습니다. 2024년 연말이 다가오고 이제 2025년이라는 새로운 한해가 다가오는 만큼 2024년에 일어났던 일들을 복기하고 2025년에 어떤 목표를 이루기 위해 살아가야 할지 정리해보려고 합니다. 또한 이번 글을 통해 올해 보안계 활동을 자주 안하고 어떤 일들이 있었는지에 대해서 이 글을 읽으시는 분들께 공유드리려고 합니다. 올해는 보안계 활동을 거의 하지 않았습니다. (제가 블로그에 글을 많이 포스팅하지 않았던 이유이기도 합니다.) 보안계 활동을 많이 하지 않아서 주변 분들중에 어떤 일들을 하고 살고 있는지 궁금해하시는 분들도 몇분 계시는 것 같..
WACON 2023 Final WEB(funnyjs, Cha's eval) Writeup
[WEB] funnyjs do you like js? Challange analyze ∧,,,∧ ( ̳• · • ̳) / づづ plz xss 챌린지 파일의 index.html을 확인해보면 위와 같은 코드가 존재하는 것을 확인할 수 있습니다. 문제에서 "plz xss"와 script 태그에서 특정 조건을 통과해 XSS를 발생시켜야하는 문제라고 추측이 가능합니다. 먼저 paload 변수에 값을 할당하는 부분을 확인해보겠습니다. decodeURIComponent(document.location.hash.slice(1)).replaceAll(//g,''); 현재 URL의 fragment 값을 받아와서 "" 태그문자가 존재하면 이를 제거한 후 URL Decoding을 진행합니다, 그 후 payload라는 변수에 ..
[WebHacking Study] Log4Shell (Log4j) 취약점 분석
Log4Shell 취약점 소개 Log4Shell은 java의 log4j 모듈에서 발생한 RCE 취약점입니다, 해당 취약점은 2022년에 발생된 취약점입니다. 해당 취약점이 발견되었을때, 많은 국내/해외 기업들이 java 기반 서버를 구축하고 log4j 라이브러리로 에플리케이션 에러, 접속 로그 등을 기록하였기 때문에 굉장히 심각하고 유명했었던 취약점으로 분류되어있습니다. 굉장히 많은 기업들에게 동시다발적으로 발생하게된 취약점이고 라이브러리의 사용도가 굉장히 높았기 때문에, 해당 취약점의 크리티컬 분류 스코어는 가장 높은 단계인 10.0으로 분류되어있습니다. 이중에서 가장 유명한 log4j에서 발생한 RCE(Remote Code Excute(원격 코드 실행)) 1day 취약점에 대해 자세히 정리해보겠습니다..