| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- hackingzone
- 삼성SDS
- bugbounty
- #bWAPP #모의해킹 #웹해킹
- #DVWA #CSRF #웹해킹 #모의해킹
- #DVWA #XSS #Stored XSS #웹해킹 #모의해킹
- bugcamp
- #webhacking #모의해킹 #웹해킹
- 버그바운티
- 해킹존
- zerowhale
- Today
- Total
목록WEB (14)
AIAS
[bWAPP] HTML Injection - Current URL (Level - Low)
HTML Injection? : [bWAPP] Reflected HTML Injection (Level - Low, Medium), 414s.tistory.com/8 [bWAPP] Reflected HTML Injection (Level - Low, Medium) HTML Injection? 공격자가 악의적인 HTML 코드를 삽입하여 사용자에게 정상적으로 서비스 중인 HTML 화면이 불필요한 HTML 코드가 삽입된 사이트로 접속되어 불필요한 화면을 제공하거나 악성 웹사이 414s.tistory.com 실습환경 - bWAPP (buggy Web APPlication) : OWASP 취약점이 주로 반영된 모의해킹 실습 환경 Reflected HTML Injection URL (Level - Low) GET ..
[bWAPP] HTML Injection (Level - Low, Medium)
HTML Injection? 공격자가 악의적인 HTML 코드를 삽입하여 사용자에게 정상적으로 서비스 중인 HTML 화면이 불필요한 HTML 코드가 삽입된 사이트로 접속되어 불필요한 화면을 제공하거나 악성 웹사이트로 강제로 이동 시켜 정보탈취 등의 행위가 가능함. HTML 코드가 Stored DB상에 저장되어 웹페이지가 호출될 시 악의적으로 삽입된 코드가 사용자에게 노출되는 방식이며, Reflected는 악의적인 HTML 코드가 운영 중인 서비스 DB상에 저장되는 Stored 방식이 악성코드가 삽입된 URL로 사용자가 접속하도록 유도 시켜 실행되게 하는 반사(Reflected) 기법임. 실습환경 - bWAPP (buggy Web APPlication) : OWASP 취약점이 주로 반영된 모의해킹 실습 환경..
[DVWA] CSRF (Level - Low, Medium)
CSRF ? (CSRF, Cross Site Request Forgery) CSRF는 악성 스크립트를 공격자가 실행 시키는 것이 아닌 타 사용자로부터 서버에 Request를 하게하여 공격자가 원한는 상황이 발생하게 하는 것이다. 즉, 공격자 수행하지 못하는 행위를 자신보다 높은 권한을 가진 계정(ex.관리자)에게 강제로 수행하게 하는 악성 스크립트를 실행시켜 피해자가 의도치않게 공격자 대신 서버에 요청해주어 정보 유출, 계정 탈취 등의 피해를 입게 된다. 실습환경 - DVWA(Damn Vulnerable Web Application) : 모의해킹 실습이 가능한 PHP기반의 환경 CSRF (Level - Low) 패스워드 변경 시 현재 비밀번호를 확인하지 않고 있으며, 프록시 툴로 패스워드 변경 요청 값을..
[DVWA] Stored XSS (Level - High)
Stored XSS? : [DVWA] Stored XSS (Level - Low) [DVWA] Stored XSS (Level - Low) XSS ? (XSS, Cross Site Scripting) XSS는 웹 어플리케이션에 스크립트 구문 ()를 필터링하지 않을 시 악의적인 사용자가 악성 스크립트를 삽입하는 것이 가능하다. 주로 악성 스크립트는 사용자의 414s.tistory.com Stored XSS (Level - High) High 레벨의 Stored XSS 페이지에서 View Source를 클릭하여 스크립트 구문 필터링 유무를 확인 Replace 구문을 통해서 모든 script 문자를 공백으로 필터링하고 있기 때문에 HTML 이벤트 핸들러를 통해서 우회해야 된다. : HTML 이벤트 핸들러를 통..
[DVWA] Stored XSS (Level - Medium)
Stored XSS? : [DVWA] Stored XSS (Level - Low) [DVWA] Stored XSS (Level - Low) XSS ? (XSS, Cross Site Scripting) XSS는 웹 어플리케이션에 스크립트 구문 ()를 필터링하지 않을 시 악의적인 사용자가 악성 스크립트를 삽입하는 것이 가능하다. 주로 악성 스크립트는 사용자의 414s.tistory.com Stored XSS (Level - Medium) Medium 레벨의 Stored XSS 페이지에서 View Source를 클릭하여 스크립트 구문 필터링 유무를 확인 소스코드 확인 결과 Low 레벨과 달리 name 필드에서 를 입력 시 공백으로 변환 시키는 replace 구문이 추가적으로 들어가있는걸 확인 가능하다. 를 공..
[DVWA] Stored XSS (Level - Low)
XSS ? (XSS, Cross Site Scripting) XSS는 웹 어플리케이션에 스크립트 구문 ()를 필터링하지 않을 시 악의적인 사용자가 악성 스크립트를 삽입하는 것이 가능하다. 주로 악성 스크립트는 사용자의 접속 정보가 포함되어 있는 쿠키나 세션을 탈취하여 해당 계정의 ID와 PW를 알지 못해도 임의로 접속하기 위해 사용된다. Stroed XSS 게시판 등 사용자가 글을 작성 시킬 수 있는 공간에 악성 스크립트가 저장되어 타 사용자가 악성 스크립트가 삽입된 게시글을 열람 시 정보가 탈취되는 취약점이다. 실습환경 - DVWA(Damn Vulnerable Web Application) : 모의해킹 실습 가능한 PHP기반의 환경 Stored XSS (Level - Low) Stored XSS 페이지..