power-girl0-0

비박스 환경을 활용한 웹 모의해킹 완벽 실습 책의 내용을 포함하고 있습니다. 스스로 공부하고 정리하기 위한 목적으로 올리는 것입니다. 1-1. XSS란? 웹 사이트에서 입력 데이터가 적절한 값인지 검사하지 않고 웹 브라우저를 실행할 때 발생하는 취약점이다. 이 취약점은 서버에 전달되는 모든 변수 값에서 발생할 수 있으며, 공격자가 세션을 탈취하여 다른 사용자의 권한을 취득하거나 악성코드를 배포하기 위한 목적 또는 피싱하여 사용자의 중요한 정보를 획득하기 위한 목적으로 사용된다. 1-2. 저장된 XSS란? 그림1 출처 : https://cafe.naver.com/kkw7564/20 악의적인 스크립트 코드가 웹에 입력되면서 데이터베이스에 저장된다. 불특정 다수의 사용자가 공격자의 게시물에 접근하면 지속적으로..

iFrame이란? HTML문서 안에서 또 다른 HTML 문서를 출력해주는 태그이다. iFrame Injection이란? - iFrame을 이용하여 어느 곳이든 인젝션 공격이 가능하다. - 독립적으로 이용할 수 있어서 HTML Injection공격에 자주 사용된다. - 주로 악성코드를 삽입후 사이즈를 0으로 설정하여 숨기는 방법을 사용한다. 1. 해당 페이지의 파라미터를 확인해보았다. 파라미터에 값이 출력되는 것을 보아 get방식이라는 것을 알 수 있다. 해당 페이지에 robots.txt를 불러와 넓이와 높이가 250 사이즈로 출력하라는 구문으로 iframe태그를 사용한 것으로 추측된다. 2. 추측이 맞는지 robots.txt 대신에 로그인 url을 입력하고 사이즈를 변경해 보았다. 사이트 안에 login..

저장기법이란? 악의적인 HTML태그를 데이터베이스에 저장하여 저장된 태그 내용을 확인한 사용자의 PC에 HTML 태그가 실행되게 하는 공격이다. 1. low (1) h1태그를 사용하여 hello문자를 전송해보았다. - h1태그가 사용되어 출력되는 것을 확인 (2) 앞에서 반사기법의 post 코드를 넣어보았다. Firstname에 aa를 입력하고 Last name에 bb를 넣어서 Go를 눌러 전송해보았다. 그 결과 반사기법의 POST페이지로 이동후 welcome aa dd가 출력되는 것을 확인할 수 있다. 2. medium (1) medium으로 바꾸자 HTML태그를 문자열로 출력하는 것을 확인할 수 있다. (2) 간단히 h1태그만 url인코딩으로 전송해보았다. 그대로 문자열로 출력해주는 것을 확인할 수 ..

안녕하세요-!! 오늘은 드디어 실습을 해보는 날입니다. 이번 글에서는 HTML인젝션 중 반사기법에 대해 실습할 예정입니다-!! 혹시 이론을 보지 못하신 분이 계시다면 이전 글을 참고해주세요-!! >. 그 결과 파라미터에 입력한 값이 출력되는 것을 확인할 수 있었으며 하단 끝에 welcome 뒤로 입력값이 그대로 출력되는 것도 확인할 수 있습니다. ④ 이번에는 html태그값을 넣어서 실행되는지 확인해보았습니다. (first : hello / last : ) -> 결과 : HTTP태그가 삽입되어도 정상으로 인식하고 삽입된 HTTP태그를 출력해줍니다. ==> 이와 같은 상황이 발생시 악성코드를 삽입하여도 정상으로 인식하고 출력해줌으로써 사용자를 해킹할 수 있습니다. 2. medium ① level을 mediu..