DVWA의 XSS Stored -- LOW 수준에서 공격을 시도해보겠습니다. 사용자의 이름과 메시지를 입력하면, 해당 내용이 화면에 출력되는 형태입니다.
우선, Name 부분에 admin을 입력하고, Message 부분에 hello를 입력해보겠습니다. 이 경우, 입력된 내용이 그대로 출력되는 것을 확인할 수 있습니다.
이제, Name 부분에 test를 입력하고, Message 부분에 다음과 같은 스크립트를 입력해보겠습니다: <script>alert('1')</script>를 입력하여 1이 출력 되는것을 확인 할 수 있었습니다.
이번에는 Medium 난이도로 변경하고, 동일한 스크립트를 입력해보겠습니다: <script>alert('1')</script>
이 경우, <script> 태그가 필터링되어 스크립트가 실행되지 않습니다. 필터링을 우회하기 위해 다양한 방법을 시도할 수 있습니다.
예를 들어, <script> 태그를 분리하여 다음과 같이 입력할 수 있습니다: <scr<script>ipt>alert('1')</script> 를 입력하여 1이 나오는 것을 확인 할 수있습니다.
또한, F12를 통해 개발자 도구를 열고, Name 필드의 최대 글자 수를 변경한 후, 다음과 같이 입력할 수 있습니다:
마지막으로, JavaScript가 아닌 HTML 태그를 이용하여 공격을 시도해보겠습니다. 이렇게 하여 공격 할 수도 있습니다.
//언제나 꾸준하게 열심히//
'DVWA' 카테고리의 다른 글
| DVWA의 XSS Reflected -- MEDIUM (0) | 2024.06.29 |
|---|---|
| DVWA XSS reflected --LOW (0) | 2024.06.24 |
| Command Execution -Medium (0) | 2024.06.15 |
| Command Execution -Low (0) | 2024.06.08 |
