일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | |
7 | 8 | 9 | 10 | 11 | 12 | 13 |
14 | 15 | 16 | 17 | 18 | 19 | 20 |
21 | 22 | 23 | 24 | 25 | 26 | 27 |
28 | 29 | 30 | 31 |
- 로보어드바이저
- 실습
- 우분투
- ctf
- sql
- 앱해킹
- 해킹공부
- 간추린아침뉴스
- 보안
- 화이트해커
- sqlinjection
- 개발
- 웹개발
- pm부트캠프
- webdev
- XSS
- webhacking
- 웹해킹
- 모의해킹
- 뉴스스크랩
- 코드스테이츠
- 리눅스
- 퀵뉴스
- 핀트
- 프로덕트매니저
- 공격기법
- hacking
- 워게임
- wargame
- 해킹
- Today
- Total
무기는 끈기
[Web Hacking / 웹 해킹] CTF, 워게임 문제풀이 : XSS 1 - write up 본문
해당 글은 XSS 공격 기법을 실제로 적용해보는 ctf 문제풀이 글 입니다.
XSS 공격 기법에 대한 개념을 알고싶으신 분은 하단의 게시글을 먼저 보고 와주세요 :)
https://yubi323.tistory.com/76
[Web Hacking / 웹 해킹] XSS 크로스 사이트 스크립팅 공격기법이란?
※ 설명을 위한 사진이 첨부되어 있어 PC화면으로 보는 것을 권장드립니다. 지난 게시글에선 다양한 공격기법 중 SQL injection에 대해 알아보았다. 이번엔 XSS라는 SQLi만큼 중요하고, 유명한 공격기
yubi323.tistory.com
<마이페이지 XSS 가능 여부 확인>
브라우저 및 버프 스위트 출력 확인
-> 출력O
특수문자 < ' " > 삽입 테스트
-> Response에 출력 안됨
--> XSS 불가능
<공지 사항 XSS 가능 여부 확인>
1. 공지 사항 게시판에 글 작성
제목: kkkk
내용: kkkk
브라우저 출력
버프 응답 출력
2. 특수문자 삽입 확인
버프 요청 입력
1) 요청 히스토리 찾기
2) Repeater로 보내서 특수문자 <'"> 출력 테스트
브라우저 출력
버프 응답 출력
kkkk<'"> 게시글을 클릭 후 해당 history 확인
title 부분에 kkkk<'"> 가 출력되는 것을 확인!
-> 타이틀 부분에 XSS 공격 코드를 삽입할 수 있다.
3. XSS 공격 코드 삽입
title 부분에 특수문자가 그대로 출력됨을 확인했으니,
title 부분에 공격 스크립트를 삽입해준다.
kkkk<script>alert("XSS attack")</script>
공격코드를 삽입 후 브라우저에서 해당 게시글 클릭
공격 코드가 제대로 동작하여 XSS 공격이 성공했다는 alert이 뜸을 확인!
'Hacking > CTF' 카테고리의 다른 글
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 5 - write up (0) | 2024.02.23 |
---|---|
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 4 - write up (0) | 2024.02.23 |
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 3 - write up (0) | 2024.02.23 |
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 1 - write up (0) | 2024.02.23 |
[Web Hacking / 웹 해킹] XSS, Client Script 활용 CTF 문제 풀이write up : 'Basic Script Prac' (0) | 2024.01.16 |