AIAS

Stored XSS? : [DVWA] Stored XSS (Level - Low) [DVWA] Stored XSS (Level - Low) XSS ? (XSS, Cross Site Scripting) XSS는 웹 어플리케이션에 스크립트 구문 ()를 필터링하지 않을 시 악의적인 사용자가 악성 스크립트를 삽입하는 것이 가능하다. 주로 악성 스크립트는 사용자의 414s.tistory.com Stored XSS (Level - High) High 레벨의 Stored XSS 페이지에서 View Source를 클릭하여 스크립트 구문 필터링 유무를 확인 Replace 구문을 통해서 모든 script 문자를 공백으로 필터링하고 있기 때문에 HTML 이벤트 핸들러를 통해서 우회해야 된다. : HTML 이벤트 핸들러를 통..

Stored XSS? : [DVWA] Stored XSS (Level - Low) [DVWA] Stored XSS (Level - Low) XSS ? (XSS, Cross Site Scripting) XSS는 웹 어플리케이션에 스크립트 구문 ()를 필터링하지 않을 시 악의적인 사용자가 악성 스크립트를 삽입하는 것이 가능하다. 주로 악성 스크립트는 사용자의 414s.tistory.com Stored XSS (Level - Medium) Medium 레벨의 Stored XSS 페이지에서 View Source를 클릭하여 스크립트 구문 필터링 유무를 확인 소스코드 확인 결과 Low 레벨과 달리 name 필드에서 를 입력 시 공백으로 변환 시키는 replace 구문이 추가적으로 들어가있는걸 확인 가능하다. 를 공..

XSS ? (XSS, Cross Site Scripting) XSS는 웹 어플리케이션에 스크립트 구문 ()를 필터링하지 않을 시 악의적인 사용자가 악성 스크립트를 삽입하는 것이 가능하다. 주로 악성 스크립트는 사용자의 접속 정보가 포함되어 있는 쿠키나 세션을 탈취하여 해당 계정의 ID와 PW를 알지 못해도 임의로 접속하기 위해 사용된다. Stroed XSS 게시판 등 사용자가 글을 작성 시킬 수 있는 공간에 악성 스크립트가 저장되어 타 사용자가 악성 스크립트가 삽입된 게시글을 열람 시 정보가 탈취되는 취약점이다. 실습환경 - DVWA(Damn Vulnerable Web Application) : 모의해킹 실습 가능한 PHP기반의 환경 Stored XSS (Level - Low) Stored XSS 페이지..