Like Goseungduk

#WASM #Web Assembly #웹어셈블리 웹 브라우저에서 js 가 아닌 코드가 컴파일 되어 실행되는 컨셉이다. wasm 은 브라우저에서 text format 으로 나타내어 보여준다. 개인 공부용으로 해당 text format 의 명령어나 문법을 간략히 정리해본다. (module ... )(module ... ) 안에는 해당 웹어셈 프로그램에 쓰인 요소들이 들어간다. 안에 들어가는 요소는 func, global, memory, table, 등등이 있다. (;0;) (;1;) 그리고 위와 같이 각 요소들은 순서에 따라 서수(ordinal)를 갖게된다. (0번 요소, 1번 요소 , ...) (func $함수변수이름 (;0;) (export "사용할 함수이름") (param $인자로 쓰이는변수 i32) ..

#CSP #Content-Security-Policy #Web 공격자가 xss 로 웹에 허용되지 않은 script 를 삽입하거나 외부페이지에 혹은 외부페이지로 부터 HTTP 요청 을 보내는 것을 막을 수 있도록 Response Header 에 마련된 정책이다. CSP 는 웹 서버에서 Content-Security-Policy 헤더를 리턴하도록 해야 사용가능하다. (PHP, Python 등에서) 혹은 정적인 html 페이지에서 태그를 활용할 수도 있다. 아래는 예제 코드 1. 실행가능한 소스, 함수 등을 제한하여 외부의 XSS 방지 2. 외부 -> 웹페이지로 로드 되는 URL, Protocol 등을 제한하여 패킷 스니핑 공격 방지 실제 사용사례 위 html 태그에서 보이듯이 content 값에 따라 무언가..

당직근무 마치고 근무취침 잠깐 취하고 나니까 드림핵 ctf 가 시작되어있었다. 대회가 1시간여밖에 안남아서 부랴부랴 한 문제 풀었는데, 나에겐 조금 낯선 NOSQL 에 대해 공부할 수 있었다. 이번 글은 DreamHack CTF 의 Web 분야문제 중, Mango 문제도 살펴보는 겸 Not Only SQL Injection 에 대해 공부하는 글이다. - NOSQL 이란? Not Only SQL 이란 뜻으로 단순히 mysql,OracleDB 같은 RDBMS 에서의 SQL 뿐만아니라 다른 형태,형식 등으로 데이터를 조직할 수 있는 DB 언어이다. RDBMS 가 주로 XML, 스프레드시트같은 테이블 구조의 정형화 된 데이터를 담는다면, NOSQL 은 바이너리파일(미디어파일, 프로그램 등등)이나 텍스트파일 같은..

javascrirpt 동적 폼(form)은 html을 건드릴 수 없을 때와 같은 상황에서 javascript에 form을 즉석에서 만들어줌으로써 동적으로 데이터 전송을가능하게 할 수 있다. XSS, CSRF와 같은 공격이 가능한 취약점이 있다면 이것은 큰 문제가 될 것이기에 스크립트 태그가 먹히지않도록htmlspecialchars 와 같은 함수로 보완해야한다.