XSS - Reflected(User-Agent)
2020.04.13
User-Agent 는 HTTP 요청 헤더에서 Client OS 정보, 웹 브라우저 정보를 보여준다. 이 부분에서 XSS 공격을 수행해보자! bee-box 환경에서 실습해보자. Level - low, medium 현재 페이지의 패킷을 burf suite 를 통해 잡아보면 위와 같이 User-Agent 를 확인할 수 있다. 이 부분을 스크립트 문으로 변경해보자. User-Agent 부분을 위와 같이 스크립트 문으로 변경한 뒤 요청을 보내보았다. 그 결과, 스크립트 문을 실행할 수 있었다. Level - high User-Agent 값을 변경해도 스크립트 문이 실행되지 않았다. burf suite 의 Repeater 기능을 이용하여 넘어간 값을 확인해보았다. 가 로 변경되어 있었다. 필터링이 되어..