Notice
Recent Posts
Recent Comments
Link
무기는 끈기
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 1 - write up 본문
<공지 사항 XSS 가능 여부 확인: Stored XSS>
1. 공지 사항 게시판에 글 작성
제목: kkkk
내용: kkkk
브라우저 출력
버프 응답 출력
2. 특수문자 삽입 확인
버프 요청 입력
1) 요청 히스토리 찾기
2) Repeater로 보내서 특수문자 <'"> 출력 테스트
브라우저 출력
버프 응답 출력
kkkk<'"> 게시글을 클릭 후 해당 history 확인
title 부분에 kkkk<'"> 가 출력되는 것 확인
-> 타이틀 부분에 XSS 공격 코드를 삽입할 수 있다.
3. XSS 공격 코드 삽입
title 부분에 특수문자가 그대로 출력됨을 확인했으니,
title 부분에 공격 스크립트를 삽입해준다.
공격 스크립트: kkkk<script>alert(1)</script>
공격 스크립트 삽입 후 브라우저에서 해당 게시글 클릭
1이 쓰여있는 alert 뜸
4. XSS 공격 성공
1이 쓰여있는 alert 뜸
= 스크립트가 제대로 동작하여, XSS 공격이 성공했다는 걸 알려줌
-> ‘공지 사항’ 페이지 제목 작성칸에서 XSS 취약점 찾음
'Hacking > CTF' 카테고리의 다른 글
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 5 - write up (0) | 2024.02.23 |
---|---|
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 4 - write up (0) | 2024.02.23 |
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 3 - write up (0) | 2024.02.23 |
[Web Hacking / 웹 해킹] XSS, Client Script 활용 CTF 문제 풀이write up : 'Basic Script Prac' (0) | 2024.01.16 |
[Web Hacking / 웹 해킹] CTF, 워게임 문제풀이 : XSS 1 - write up (1) | 2023.12.25 |