무기는 끈기

write up 해볼 CTF Challenge는 'Basic Script Prac' 이다. 가장 우측에 있지만, 클라이언트 스크립트를 활용하는 문제들 중 기본에 관한 문제이다. 문제를 클릭해보자. 문제에 대한 정보와 문제 페이지 링크, 그리고 관리자 방문 Bot Link가 나온다. 예상되는 풀이 루트: 1. 가장 하단의 문제 페이지에 접속 2. Mypage에서 XSS 취약점이 일어나는 곳 연구 3. XSS 취약점이 일어나는 곳에 삽입할 스크립트 제작 4. 스크립트가 실행될 링크를 관리자에게 전달 5. 내 공격자 서버로 데이터가 넘어오면 flag 탈취 혹시나 놓치는 것 없도록, 하나하나 차근차근 살펴보도록 한다. 1. 문제 페이지에 접속 문제 페이지가 나온다. Mypage에 취약점이 있다고 했으니, 로그인..

지난 글에선 XSS 공격 기법을 사용할 경우 막아놓은 것들을 어떤 방법을 사용해서 우회할 수 있는지 알아보았다. 글 보러가기 -> https://yubi323.tistory.com/78 [Web Hacking / 웹 해킹] XSS Bypass Trick 우회 트릭 기법 알아보기 (script 길이 제한, img 태그 활용, event ha XSS 공격기법을 사용하다보면 다양하게 막아놓은 것을 찾을 수 있다. 그럼에도 불구하고 이런저런 우회 기법을 사용하여 공격할 수 있기에, 해당 공격들에 방어하기 위해선 어떤 우회 방법이 있 yubi323.tistory.com 이번 글에선 XSS 공격기법에 대한 대응방안을 알아보려고 한다. XSS 공격기법에 대한 가장 분명한 대응방안은 바로 HTML Entity 치환 이..

XSS 공격기법을 사용하다보면 다양하게 막아놓은 것을 찾을 수 있다. 그럼에도 불구하고 이런저런 우회 기법을 사용하여 공격할 수 있기에, 해당 공격들에 방어하기 위해선 어떤 우회 방법이 있고 어떻게 우회할 수 있는지를 알아야 한다. 이번 글에선 XSS 우회 트릭을 몇가지 살펴보려고 한다. - script Tag 길이 제한된 경우 - script 단어 필터링 된 경우 - img Tag 활용(Event Handler 활용) - XSS in href - script Tag 내에서 XSS 발생하는 경우 - svg 등 다양한 태그 활용 - XSS in input 하나하나 살펴보도록 하자. - script Tag 길이 제한된 경우 script Tag 안에 들어가는 글자수를 제한 해놓은 경우는 아래처럼 우회할 수 있..

※ 설명을 위한 사진이 첨부되어 있어 PC화면으로 보는 것을 권장드립니다. 지난 게시글에선 다양한 공격기법 중 XSS의 기본 개념과 종류에 대해 알아보았다. 이번엔 XSS가 모의해킹 업무가 아닌 실제에서 어떤 식으로 악용될 수 있을지 알아보려고 한다. XSS의 기본 개념과 종류, 작동원리가 궁금하다면 하단의 게시글 참고! https://yubi323.tistory.com/76 [Web Hacking / 웹 해킹] XSS 크로스 사이트 스크립팅 공격기법이란? ※ 설명을 위한 사진이 첨부되어 있어 PC화면으로 보는 것을 권장드립니다. 지난 게시글에선 다양한 공격기법 중 SQL injection에 대해 알아보았다. 이번엔 XSS라는 SQLi만큼 중요하고, 유명한 공격기 yubi323.tistory.com