웹 해킹12 [비박스(bWAPP)] low-A1-Injection iFrame Injection #277 1. 개요 1) 문제명 : iFrame Injection 2) 난이도 : low 3) 관련 개념 : HTML, WEB, PHP, Injection 공격 4) 문제 : iframe을 삽입하여 원하는 데이터를 출력 2. 서비스 확인 서비스를 확인하였을 때 특이한 부분은 없고 URL을 보니 robots.txt파일을 불러와 화면에 보여주는 것으로 보입니다. 아마 소스 코드를 확인해야 정확히 알 수 있을 것 같습니다. 3. 소스 코드 확인 1) 난이도 설정 난이도를 설정하는 부분에서는 XSS와 관련된 입력값을 체크하고 있다는 것을 보실 수 있습니다. 2) 서비스 코드 첫 경로 부분에 해당되는 코드입니다. 앞서 보이는 URL에 해당되는 부분을 미리 입력하여 출력할 수 있도록 해주고 있습니다. 메인 코드 부.. 2024. 1. 26. [비박스(bWAPP)] low-A1-Injection HTML Injection - stored(Blog) #276 1. 개요 1) 문제명 : HTML Injection - stored(Blog) 2) 난이도 : low 3) 관련 개념 : HTML, WEB, PHP, Injection 공격, 4) 문제 : Blog 게시판에 HTML 코드를 Injection하여 원하는 데이터 출력 2. 서비스 확인 이번 문제에서는 글을 남길 수 있는 방명록 서비스를 제공하고 있었습니다. 아마 이 곳에 HTML 코드를 삽입하여 공격을 시도하는 것으로 보입니다. 3. 소스 코드 확인 1) 난이도 설정 입력 값 검증을 통하여 난이도를 설정합니다. 근데 조금 특이한 점은 이전처럼 HTML 코드 삽입에 대한 필터링을 할 줄 알았는데 여기서는 SQL Injection에 대한 입력 값을 검증하는 것으로 보입니다. 아마 SQL Injecti.. 2024. 1. 22. [비박스(bWAPP)] low-A1-Injection HTML Injection -Reflected(GET) #273 1. 개요 1) 문제명 : HTML Injection - Reflected(GET) 2) 난이도 : low 3) 관련 개념 : HTML, WEB, PHP, Injection 공격 *Injection 공격이란? 공격자가 프로그램 또는 시스템에 임의의 코드나 데이터를 삽입하여 원하지 않는 동작을 유발하는 것 4) 문제 : HTML 코드를 Injection하여 원하는 데이터 출력 2. 서비스 확인 먼저 기본적인 서비스를 확인해보도록 하겠습니다. 기본적인 서비스는 이름을 입력하고 출력하는 서비스입니다. 3. 소스 코드 확인 1) 난이도 설정 문제를 푸는데 있어 난이도를 설정하는 부분입니다. 난이도에 따라 입력값을 검증하는게 다른 것으로 보이는데요. 일단 저희는 low(0)레벨이기 때문에 별도로 입력값을.. 2024. 1. 18. [웹 해킹] Dreamhack XSS Filtering Bypass(Level 1) #265 1. 개요 워게임 명 : XSS Filtering Bypass 난이도 : Level 1 관련 개념 : Javascript, XSS, Cookie 문제 : XSS 취약점을 이용하여 FLAG 값 획득 * 이전에 풀이하였던 xss-1 워게임과 비슷하지만 XSS 취약점에 사용하고 있는 기본적인 단어들에 대하여 필터링 기능이 추가되었습니다. XSS Filtering Bypass 강의에 포함된 워게임입니다. 2. 소스 코드 확인 1) HTML 이전의 xss-1 워게임에서 사용한 소스 코드와 동일합니다. 1-1) base.html 1-2) index.html 1-3) memo.html 1-4) flag.html 파라미터를 입력받는 페이지입니다. 2) python python 소스의 경우 필터링과 관련된 부분.. 2023. 8. 25. 이전 1 2 3 다음
