본문 바로가기

전체 글

(16)

XSS stored --LOW DVWA의 XSS Stored -- LOW 수준에서 공격을 시도해보겠습니다. 사용자의 이름과 메시지를 입력하면, 해당 내용이 화면에 출력되는 형태입니다.우선, Name 부분에 admin을 입력하고, Message 부분에 hello를 입력해보겠습니다. 이 경우, 입력된 내용이 그대로 출력되는 것을 확인할 수 있습니다.이제, Name 부분에 test를 입력하고, Message 부분에 다음과 같은 스크립트를 입력해보겠습니다: 를 입력하여 1이 출력 되는것을 확인 할 수 있었습니다. 이번에는 Medium 난이도로 변경하고, 동일한 스크립트를 입력해보겠습니다: script>alert('1')script>이 경우, 를 입력하여 1이 나오는 것을 확인 할 수있습니다. 또한, F12를 통해 개발자 도구를 열고, ..

DVWA의 XSS Reflected -- MEDIUM DVWA의 XSS Reflected -- MEDIUM 수준에서 공격을 시도해보겠습니다. 처음 화면은 사용자에게 이름을 묻는 입력란이 있고, 입력된 이름이 출력되는 형태입니다.먼저, alert 함수를 이용하여 스크립트가 실행되는지 확인해보겠습니다. 다음과 같은 입력을 시도합니다: 하지만 이번에는 스크립트가 필터링되어 실행되지 않는 것 같습니다. 필터링을 우회하기 위해 다양한 기법을 시도할 수 있습니다. 예를 들어, ipt>와 같이 태그를 분리하거나, 대소문자를 혼합하여 와 같이 입력할 수 있습니다. 이 방식들은 필터링 시스템의 허점을 노리는 기법들입니다.이와 같은 방법을 사용하여 입력하면, 스크립트가 실행되어 1이 출력되는 것을 확인할 수 있습니다. 이는 필터링 시스템이 완벽하지 않다는 것을 보여줍니다. ..

DVWA XSS reflected --LOW DVWA의 XSS Reflected -- LOW 수준에서 공격을 시도해보겠습니다. 처음 화면은 사용자에게 이름을 묻는 입력란이 있고, 입력된 이름이 출력되는 형태입니다.먼저, alert 함수를 이용하여 스크립트가 실행되는지 확인해보겠습니다. 다음과 같은 입력을 시도합니다:입력 후 화면에 1이 출력된다면, 이는 스크립트 필터링이 제대로 이루어지지 않고 있다는 의미입니다. 스크립트가 실행된다는 것은, 웹 애플리케이션이 사용자 입력을 그대로 출력하며, 이는 XSS 취약점이 존재함을 나타냅니다. 이제, XSS 취약점을 이용하여 공격을 심화시킬 수 있습니다. 예를 들어, 개인 서버를 열어 공격 스크립트를 주입하고 이를 통해 피해자의 세션 정보를 탈취하거나, BEEF (Browser Exploitation Fram..

이전 1 2 3 4 ··· 6 다음

티스토리툴바