티스토리 뷰
<reflected XSS로 value 값에 스크립트 삽입 시, XSS 취약점이 발생하는 경우>
1. input박스 value에 스크립트를 넣어 XSS공격 성공시키기
위와 같이 value 값에 구문을 삽입하여 XSS를 발생시켜야 하는 상황일 때
value 값에 XSS 기본 스크립트인 <script>alert(document.domain)<script>를 삽입하자 스크립트가 실행되는 것이 아닌 input박스 안에 입력되는 형태로 나타나는 것을 알 수 있다.
value 안에 값을 넣는 형식이 아닌 XSS 스크립트를 실행시키기 위해서는 먼저 value 입력 형식을 닫아주어야 한다.
스크립트 : "><script>alert(document.domain)<script>
2. input박스 value에 스크립트를 넣어 XSS공격 성공시키기 (<,>이 필터링 될 때)
위와 같이 value 값에 구문을 삽입하여 XSS를 발생시켜야 하는 상황이고 <,>는 사용할 수 없을 때
<,>를 인코딩하는 등 다양한 방법으로 시도했지만 스크립트가 실행되지 않았다.
스크립트 : "; onmouseover=alert(document.domain)"
3. type가 input박스 value에 스크립트를 넣어 XSS공격 성공시키기 (<,>이 필터링 될 때)
위와 같이 input 박스가 hidden 상태 일 때
스크립트 : " onmouseover=alert(document.domain) type="test
value 값에 위 구문을 삽입함으로써 type="hidden"이 우회 가능하다.
'웹 공부 > 웹 해킹 실습' 카테고리의 다른 글
| 디렉토리 노출 취약점 (Directory Listing) 공격 (5) | 2019.07.24 |
|---|---|
| 파일 다운로드 (File Download) 취약점 공격 (2) | 2019.07.24 |
| XSS공격 피해자 쿠키값 탈취 (5) | 2019.06.24 |
| XSS공격으로 쿠키값 탈취 (0) | 2019.06.23 |
| File Upload 공격 (3) | 2019.03.20 |
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday