퍼징(fuzzing) 환경 구축하기

"fuzzing against machine" 도서를 읽고 정리한 내용입니다. 퍼징의 기본 개념 QEMU(Quick Emulator)를 사용하는 이유는, 펌웨어를 가지고 에뮬레이팅하면 실제로 기기를 가지고 있지 않아도 테스트할 수 있기 때문이다. 플레이스테이션이나 닌텐도 등 비싼 기기를 보유하지 않아도 에뮬레이터를 통해 PC에서 동작할 수 있는 것처럼 말이다. 취약점에는 버퍼 오버플로우, 포맷 스트링 취약점, 힙 오버플로우 등이 있다. 이러한 취약점을 발견하는 과정은 매우 지루(tedious)한 과정이다. 그래서 퍼저(fuzzer)라는 툴을 이용한다. 퍼저는 프로그램을 실행하고, 다른 입력값(input)을 넣으면서 프로그램의 충돌(crash)을 관찰(monitoring)한다. 퍼징의 성과를 향상하기 위해..

  • format_list_bulleted fuzzing
  • · 2024. 1. 6.
  • textsms

「웹해킹을 위한 자바스크립트(Javascript) 훑어보기」- 6. 전개(spread)와 분해

본 글은 Udemy(유데미)에서 제공하는 Colt Steele님의 「The Web Developer 부트캠프 2023」 강의를 수강하며 배운 내용을 바탕으로 작성했습니다. 웹 해킹 및 보안에 쓰이는 자바스크립트 코드를 보고 이해할 수 있는 수준에 다다르기 위해 전반적인 내용을 가볍게 훑어보는 기획입니다. spread spread는 전개 구문으로, 내응을 하나하나 분리합니다. 함수 호출 시 const nums = [13,4,5,21,3] Math.max(nums) //NaN Math.max(...nums) //21 위 코드에서 Math.max() 함수는 개별적인 숫자 인수를 받아 최댓값을 반환합니다. 그냥 nums 배열을 넘겨주게 되면 배열 자체를 숫자로 변환할 수 없으므로 NaN(Not a Number)..

  • format_list_bulleted Javascript
  • · 2023. 7. 17.
  • textsms
「웹해킹을 위한 자바스크립트(Javascript) 훑어보기」- 5. 콜백(callback)

「웹해킹을 위한 자바스크립트(Javascript) 훑어보기」- 5. 콜백(callback)

본 글은 Udemy(유데미)에서 제공하는 Colt Steele님의 「The Web Developer 부트캠프 2023」 강의를 수강하며 배운 내용을 바탕으로 작성했습니다. 웹 해킹 및 보안에 쓰이는 자바스크립트 코드를 보고 이해할 수 있는 수준에 다다르기 위해 전반적인 내용을 가볍게 훑어보는 기획입니다. 콜백 함수(callback function) 콜백 함수는 다른 함수의 인자로 이용되는 함수입니다. 콜백 함수를 이용하는 메서드를 살펴보며 이해해 봅시다. forEach forEach는 주어진 함수를 배열 요소 각각에 대해 실행합니다. const numbers = [1,2,3,4,5] /* function print(element) { consloe.log(element) } numbers.forEach(..

  • format_list_bulleted Javascript
  • · 2023. 7. 11.
  • textsms
「웹해킹을 위한 자바스크립트(Javascript) 훑어보기」- 4. 함수

「웹해킹을 위한 자바스크립트(Javascript) 훑어보기」- 4. 함수

본 글은 Udemy(유데미)에서 제공하는 Colt Steele님의 「The Web Developer 부트캠프 2023」 강의를 수강하며 배운 내용을 바탕으로 작성했습니다. 웹 해킹 및 보안에 쓰이는 자바스크립트 코드를 보고 이해할 수 있는 수준에 다다르기 위해 전반적인 내용을 가볍게 훑어보는 기획입니다. 함수 JS에서 함수의 기본적인 형태는 다음과 같습니다. function add(x, y) { let sum = x + y; return sum; } 어떤 프로그래밍 언어든 블록과 지역변수의 개념은 비슷합니다. 블록(중괄호 '{'와 '}' 사이) 안에 정의된 변수는 해당 블록 안에서만 사용할 수 있습니다. 그런데 let, const가 등장하기 전 사용했던 변수 선언 키워드인 var는 블록 범위의 영향을 받..

  • format_list_bulleted Javascript
  • · 2023. 7. 9.
  • textsms
「웹해킹을 위한 자바스크립트(Javascript) 훑어보기」- 3. 데이터 구조(배열, 객체, 반복)

「웹해킹을 위한 자바스크립트(Javascript) 훑어보기」- 3. 데이터 구조(배열, 객체, 반복)

본 글은 Udemy(유데미)에서 제공하는 Colt Steele님의 「The Web Developer 부트캠프 2023」 강의를 수강하며 배운 내용을 바탕으로 작성했습니다. 웹 해킹 및 보안에 쓰이는 자바스크립트 코드를 보고 이해할 수 있는 수준에 다다르기 위해 전반적인 내용을 가볍게 훑어보는 기획입니다. 이번에는 JS의 데이터 구조, 배열과 객체를 간단하게 알아보겠습니다. 이를 활용하는 반복 구문도 함께 알아보도록 합시다. 배열(array) 연속된 데이터를 표현할 수 있는 구조로, 어떤 자료형이든 넣을 수 있습니다. 대괄호로 감싸서 배열임을 표현합니다. let array = []#배열 선언 let colors = ["red", "orange"] 자바스크립트에서 배열은 다른 언어에서의 리스트(list)와 ..

  • format_list_bulleted Javascript
  • · 2023. 7. 6.
  • textsms
「웹해킹을 위한 자바스크립트(Javascript) 훑어보기」- 2. 출력, 참과 거짓(truthy and falsy)

「웹해킹을 위한 자바스크립트(Javascript) 훑어보기」- 2. 출력, 참과 거짓(truthy and falsy)

본 글은 Udemy(유데미)에서 제공하는 Colt Steele님의 「The Web Developer 부트캠프 2023」 강의를 수강하며 배운 내용을 바탕으로 작성했습니다. 웹 해킹 및 보안에 쓰이는 자바스크립트 코드를 보고 이해할 수 있는 수준에 다다르기 위해 전반적인 내용을 가볍게 훑어보는 기획입니다. 자바스크립트로 무언가 출력하기 개발자도구의 출력 기능 지금까지 브라우저의 콘솔을 통해 자바스크립트의 동작을 확인해 왔습니다. 저장된 값을 확인할 때 별도의 출력 함수 없이 단지 변수 이름을 입력하는 것만으로 결과를 확인할 수 있었습니다. 이는 자바스크립트에서 제공하는 기능은 아니고, 브라우저의 개발자 도구에서 지원하는 기능입니다. 개발자 도구의 콘솔은 전역 스코프(global scope)에서 실행되는 J..

  • format_list_bulleted Javascript
  • · 2023. 7. 5.
  • textsms