▚ Ch. [씨-에이치.] ▚ @sftblw@twingyeo.kr

Ch. ( see-eigchi, 실명 이니셜 ) 혹은 sftblw ( from softblow ) 라고 하는 사용자입니다.

라이트 오타쿠입니다.

깊게 파는 건 없지만, 일본 애니메이션, 리듬게임, 애니메이션 오프닝/엔딩 같은 걸 좋아합니다.

여성 대상 컨텐츠는 대체로 그다지 좋아하지 않구요, 싸우지 않는 감성적인 컨텐츠도 어느 정도는 소화할 수 있습니다.

애니 음악은 그 때 그 때 좋은 걸 즐기지만, 전파곡 같은 신나는 것도 좋아합니다.

밥벌이로는 컴퓨터에게 일을 시키는 설계도를 만드는 걸 하고 있습니다.

독특하고 흥미로운 것과 의미있는 것, 아무말이나 뜬구름 잡는 망상도 좋아합니다.

Fediverse user since 2017
Twitter user ????-around 2017
Arknights player since 2020

옛날에 무슨 스느스였는지는 기억 안 나는데 원격 이미지를 그대로 포함하는 옵션이 있었는데 (어드민 설정) 위험한 거엿군...

악의적인 서버가 이미지 주소를 실제 이미지가 아니라 이상한 거로 해두고 다른 서버에 글이랍시고 건네줬을 때, 서버가 미리 이미지를 다운받아서 보여주지 않고 이미지 링크를 그대로 유저한테 노출시키면 그게 바로 공격이구나

Mfm 에 aiscript 들어가는 거 같던데 포스트 본문의 html 을 만들어낼 수 있다면 훌륭한 공격 방안이 될지도?

막혀있겠지...

스크립트 인젝션이나 SQL 인젝션은 장난삼아 많이들 하는거라 인지하고 있었는데 이미지의 주소를 임의로 바꿀 수 있는 거도 공격이라는 사실이 놀라움

다른 학습: glitch 에디션에서도 mfm 에서도 마크다운의 이미지를 링크로 첨부하는 기능은 막혀있음

오늘의 학습: 이미지를 첨부하면 get 으로 가져온다
https://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf

아무래도 기본적인 CSRF 수단은 막혀있나 보네요
Get 요청으로는 로그아웃이 되질 않는 걸 보니

https://twingyeo.kr/auth/sign_out

로그아웃 주소인데 클릭하면 로그아웃이 되려나요

링크로 이미지 첨부가 가능해지면 공격이 가능하구나...

https://namu.wiki/w/CSRF

요즘 게임은 한 번 쯤은 터져주시는게 트렌드인갑다

리팩터링 하다 막혔었는데 해결방법 떠오름

사과공지 미쿠 우는 거 귀여ㅜ워
https://www.kr-pjsekai.com/news_detail.html?id=7101993021373192962