해킹3 [비박스(bWAPP)] low-A1-Injection HTML Injection - stored(Blog) #276 1. 개요 1) 문제명 : HTML Injection - stored(Blog) 2) 난이도 : low 3) 관련 개념 : HTML, WEB, PHP, Injection 공격, 4) 문제 : Blog 게시판에 HTML 코드를 Injection하여 원하는 데이터 출력 2. 서비스 확인 이번 문제에서는 글을 남길 수 있는 방명록 서비스를 제공하고 있었습니다. 아마 이 곳에 HTML 코드를 삽입하여 공격을 시도하는 것으로 보입니다. 3. 소스 코드 확인 1) 난이도 설정 입력 값 검증을 통하여 난이도를 설정합니다. 근데 조금 특이한 점은 이전처럼 HTML 코드 삽입에 대한 필터링을 할 줄 알았는데 여기서는 SQL Injection에 대한 입력 값을 검증하는 것으로 보입니다. 아마 SQL Injecti.. 2024. 1. 22. Apache Log4j 2.x 취약점 조치 및 결과 #196 1. Apache Log4j 2.x 취약점[CVE-2021-4428] Apache Log4j 2.x 취약점[CVE-2021-44228] #193 1. Log4j 2.x 취약점 - 취약점 : CVE-2021-44228 - 취약한 버전 : 2.0-beta9 ~ 2.14.1 모든 버전(Log4j 2.12.2 제외) CVE - CVE-2021-44228 Apache Log4j2 2.0-beta9 through 2.12.1 and 2.13.0 through 2.1.. goldsony.tistory.com 2. Apache Log4j 2.x 취약점 PoC Apache Log4j 2.x 취약점 PoC #195 1. Apache Log4j 2.x 취약점[CVE-2021-4428] Apache Log4j 2.x.. 2021. 12. 23. Apache Log4j 2.x 취약점 PoC #195 1. Apache Log4j 2.x 취약점[CVE-2021-4428] Apache Log4j 2.x 취약점[CVE-2021-44228] #193 1. Log4j 2.x 취약점 - 취약점 : CVE-2021-44228 - 취약한 버전 : 2.0-beta9 ~ 2.14.1 모든 버전(Log4j 2.12.2 제외) CVE - CVE-2021-44228 Apache Log4j2 2.0-beta9 through 2.12.1 and 2.13.0 through 2.1.. goldsony.tistory.com 2. PoC 시나리오 구성 : 취약 서버, LDAP 서버, 공격 PC 1) Lo4j 2.x 취약점을 가지고 있는 웹 서비스 구동(취약 서버) 2) JNDI-Injection-Exploit을 위한 LDAP.. 2021. 12. 21. 이전 1 다음
