g3rm's Blog

Intro Race Condition은 다중 프로세스 혹은 쓰레드가 하나의 공유 자원에 대한 접근 및 수정을 동시에 해서 한 쪽 결과가 무시 당하거나, 잘못된 결과가 도출되는 취약점입니다. 공격 원리 HTTP/1 - Last-Byte Sync HTTP/1의 경우 HTTP 요청이 완료 되어야 서버에서 요청을 처리하기 때문... Read More

Intro OAuth 2.0은 기존에 아이디 / 비밀번호로 로그인하던 인증(자격 증명)을 타 서비스에서도 인증할 수 있도록 하는 권한 부여 프레임워크 입니다. 예를 들어, Sign in with Google 처럼 자신이 로그인하고자 하는 서비스는 구글이 아니지만, 구글이 대신 자격 증명을 해주는 느낌입니다. 요즘은 대부분의 ... Read More

Intro JSONP(JSON with Padding)는 Same-Origin Policy 일명 SOP 정책을 우회하기 위해 나온 것으로 다른 도메인으로부터 데이터를 가져와야 하는 상황이 많은데, 이럴 때마다 cross-domain 이슈가 발생하여 이러한 번거러움을 없애기 위해 나온 방법입니다. <scri... Read More

Intro <iframe>은 다른 웹 페이지(HTML)를 사용하기 위한 태그이고, 아직 많이 사용하고 있는 것 같습니다. 특히 youtube를 불러올 때, 많이 쓰는거 같다는 느낌을 받았습니다. [왜 video로 안불러오지….?] 현 페이지가 보안에 안전한 페이지라도 불러오는 다른 웹 페... Read More

Intro $ \LaTeX $ 란 주로 자연과학 혹은 수리 영역 논문에 사용되는 문서 작성 도구의 일종으로 $ \TeX $ 문법을 쉽게 사용하기 위해 만든 메크로 모음집이다. 스크립트 기능이 강하기 때문에 RCE, XSS 등의 공격이 가능하여 위험도는 매우 높습니다. Detect & Exploit Detect... Read More