언젠가 귀엽다고 하면 질색하는 친구가 있었는데 나한테 나도 복수할 거라면서 나보고 귀엽다고 했다, 하지만 역시 나는 그런 것에 큰 타격이 없었고 더욱더 귀여워 해주었다

@sftblw <img src="neverexists" onerror="alert(1);" />
걍 JS 꾸겨넣기도 ssap possible이었습니다.

옛날에 무슨 스느스였는지는 기억 안 나는데 원격 이미지를 그대로 포함하는 옵션이 있었는데 (어드민 설정) 위험한 거엿군...

Show thread

악의적인 서버가 이미지 주소를 실제 이미지가 아니라 이상한 거로 해두고 다른 서버에 글이랍시고 건네줬을 때, 서버가 미리 이미지를 다운받아서 보여주지 않고 이미지 링크를 그대로 유저한테 노출시키면 그게 바로 공격이구나

Show thread

Mfm 에 aiscript 들어가는 거 같던데 포스트 본문의 html 을 만들어낼 수 있다면 훌륭한 공격 방안이 될지도?

막혀있겠지...

Show thread

스크립트 인젝션이나 SQL 인젝션은 장난삼아 많이들 하는거라 인지하고 있었는데 이미지의 주소를 임의로 바꿀 수 있는 거도 공격이라는 사실이 놀라움

Show thread

벌새는 그 특유의 초고속 날개짓 때문에 작은 체구에 고열량의 식사를 계속 해야 하기 때문에...
당장 밥 못먹으면 죽는 신세인데 옆에 다른 놈이 내가 먹으려는걸 먹는다? 성질 더럽지 않을 수가 ㅋㅋ

다른 학습: glitch 에디션에서도 mfm 에서도 마크다운의 이미지를 링크로 첨부하는 기능은 막혀있음

Show thread

@sftblw 예전엔 됐는데 지금은 GET으로는 안 됩니다.
근데 GET으로 되는 시절에도 CSRF는 안 먹었습니다. (쿠키 안 감)

아무래도 기본적인 CSRF 수단은 막혀있나 보네요
Get 요청으로는 로그아웃이 되질 않는 걸 보니

Show thread

링크로 이미지 첨부가 가능해지면 공격이 가능하구나...

Show older
Twingyeo (트잉여)

Twingyeo(트잉여)는 한국어 사용자를 위한 Mastodon 인스턴스입니다.