보안 공부

이 영역을 누르면 첫 페이지로 이동

보안 공부 블로그의 첫 페이지로 이동

보안 공부

페이지 맨 위로 올라가기

보안 공부

html injection

보안 공부

HTML Injection - Stored

HTML Injection - Stored

2020.03.23

지난번에 이어 이번에는 HTML Injection - Stored 취약점에 대해 알아보겠다. Reflected 방식은 서버에 저장되지는 않는다. 그와 반대로 Stored 방식은 공격자가 서버에 HTML 태그를 저장시키고, 이후에 사용자가 해당 태그가 저장된 페이지를 열람할 경우 공격자의 태그가 실행되는 방식이다. Reflected 방식때와 마찬가지로 XSS 공격은 배제하고 진행하겠다. bee-box 환경에서 실습해보자! Level - low 위와 같이 특정 게시판에서 태그를 이용하여 글을 작성해보았다. 아무런 필터링이 되어 있지 않아 태그가 그대로 반영되어 글이 작성되었다. HTML 태그가 필터링되지 않기 때문에 원하는 형식으로 글을 작석한 뒤, 사용자가 링크로 이동하게끔 유도할 수 있다. Level -..

HTML Injection - Reflected

HTML Injection - Reflected

2020.03.23

HTML Injection - Reflected 는 매개변수 입력값을 검증하지 않는 페이지에서 공격자가 GET / POST 방식으로 악의적인 HTML 태그를 입력하여, 웹 브라우저가 공격자가 입력한 HTML 태그를 해석하여 결과로 돌려주는 취약점이다. 만약 태그를 삽입한다면 우리가 아는 XSS 공격이 되는 것이다. 여기서는 XSS 공격은 배제하고 진행하겠다. 이 취약점을 이용하여 공격자는 특정 페이지에 악의적인 URL 을 삽입하고 이후에 사용자가 해당 페이지를 사용할 경우, 해당 URL 로 접근하게 할 수 있다. bee-box 환경에서 실습해보자! ※ GET 방식과 POST 방식의 차이는 url 에 매개변수 값이 노출되냐 안 되냐의 차이기 때문에 이번 실습은 GET 방식만 진행하도록 하겠다. POST 방..

최신
- 1
다음

보안 공부 블로그의 첫 페이지로 이동

보안 공부

보안 공부의 첫 페이지로 이동

검색

카테고리

분류 전체보기 (119)

메뉴

홈
태그
방명록

태그

webhacking.kr
bee-box
pwnable.kr
CSRF
bwapp
XSS
broken authentication
XSS game

최근 글

아프리카오리의 보안 공부

보안 공부

아프리카오리

블로그 구독하기

구독하기
RSS 피드

방문자

전체 방문자
오늘
어제

티스토리

티스토리 홈
이 블로그 관리하기
글쓰기

Powered by Tistory / Kakao.

© 아프리카오리.

Designed by Fraccino.

티스토리툴바