Notice
Recent Posts
Recent Comments
Link
무기는 끈기
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 4 - write up 본문
<공지 사항 XSS 가능 여부 확인: Stored XSS >
- 특이점: 필터링이 되어 있는 것으로 확인됨
- 공지 사항 게시판에 글 작성
(상단의 XSS 1과 동일) - 특수문자 <’”> 출력 테스트
(상단의 XSS 1과 동일) - XSS 공격 코드 삽입
삽입 스크립트: kkkk<script>alert(1)</script>
4. 필터링 우회 방법 모색
필터링 된 단어: script, alert
대체 단어:
script -> scscriptript
alert -> prompt
수정한 공격 스크립트: kkkk<scscriptript>prompt(1)</script>
버프 스위트 요청 및 응답 확인
수정한 코드가 제대로 동작함을 확인
브라우저 출력
1이 쓰여있는 prompt 뜸
5. XSS 공격 성공
1이 쓰여있는 prompt 뜸
= 스크립트가 제대로 동작하여, XSS 공격이 성공했다는 걸 알려줌
-> ‘공지 사항’ 글쓰기 페이지에서 XSS 취약점 찾음
'Hacking > CTF' 카테고리의 다른 글
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 5 - write up (0) | 2024.02.23 |
---|---|
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 3 - write up (0) | 2024.02.23 |
[Web Hacking / 웹 해킹] CTF 문제풀이 : XSS 1 - write up (0) | 2024.02.23 |
[Web Hacking / 웹 해킹] XSS, Client Script 활용 CTF 문제 풀이write up : 'Basic Script Prac' (0) | 2024.01.16 |
[Web Hacking / 웹 해킹] CTF, 워게임 문제풀이 : XSS 1 - write up (1) | 2023.12.25 |