🔎 CSRF란? 사용자가 의도하지 않은 요청을 하도록 요청을 위조하는 공격 ex) 비밀번호를 1234로 변경하는 request를 보내게 만들기 ✅ CSRF vs XSS ⭐ XSS 클라이언트 측에서 즉, 브라우저에서 악성 스크립트(HTML, CSS, 자바스크립트
admin 계정의 마이페이지 정보란에 flag가 있다고 하네요그럼 먼저 마이페이지에 XSS 취약점이 있는지 확인합니다마이페이지에서는 XSS 취약점이 존재할 수 있는 부분이 user 파라미터인데, 이 부분에 취약점이 없는 것을 확인했습니다게시글의 제목과 내용에 <'
1️⃣ XSS 취약점 찾기 문제를 확인해보겠습니다 중요한 정보는 마이페이지에 있지만, XSS 취약점이 다른 곳에 있을 것 같네요 iframe 을 이용해 중요 정보를 탈취해야 할 것 같습니다 우선 XSS 취약점 위치를 찾아보겠습니다 마이페이지가 아닌 다른 페이지
1️⃣ XSS 취약점 찾기 먼저 문제를 확인하겠습니다 마이페이지에 XSS 공격 취약점이 있다고 하네요 그럼 마이페이지에 접속해보도록 하겠습니다 아이디가 placeholder 로 입력되는 부분에 XSS 취약점 가능성이 있어보이니 테스트 해보도록 하겠습니다 ![]
1️⃣ Page redirect 페이지를 이동시켜주는 스크립트 location.href = "주소"; location.replace("주소"); 2️⃣ 주소창 변조 history.pushState(null,null,경로); 3️⃣ DOM 객체 접근 docum
XSS는 클라이언트 측에서 악성 스크립트를 실행시키는 공격입니다 이런 XSS의 대응 방안에는 무엇이 있을까요? 혹시 필터링을 떠올리지는 않으셨나요? 정말 필터링이 XSS의 대응 방안이 될 수 있는지 알아보도록 하겠습니다 > #### 🔎 필터링 : 특정 조건에
HTML의 예약 문자로 지정되어 있는 특수문자들을 & 로 시작하고 ; 로 끝나는 텍스트로 표현하는 방법예를 들어, < 는 HTML에서 태그를 여는 문자로 예약되어 있기 때문에, 이것을 HTML Entity로 표현하지 않으면 뒤의 텍스트를 태그로 인식합니다입력 값
🔎 DOM이란?Document Object Model의 약자로, HTML 문서를 객체로 표현한 것입니다javascript와 같은 언어는 DOM 객체를 통해서 HTML 문서에 접근합니다HTML에는 부모 요소, 자식 요소가 있습니다즉, 계층 구조를 이루고 있는데요, 그래
앞에서 XSS 공격에 대해 알아보았는데요 지금까지는 XSS 공격 취약점이라는 것을 쉽게 파악할 수 있도록, 클라이언트가 취약점 부분에 접속 시 alert(1) 이 실행되도록 하였습니다 alert(1) 은 해당 취약점에 alert(1) 이 아닌 다른 악성 스크립트를
❓ XSS란? XSS는 Cross Site Script의 줄임말로, 클라이언트 측, 즉 사용자의 브라우저에서 악성 스크립트가 실행되도록 하는 공격입니다 ❓ 스크립트 삽입 방법 1️⃣ stored XSS >서버에 스크립트를 저장시킨 뒤, 클라이언트가 해당 스크립트가
SQL 실행 결과가 출력되는 경우 SQL 질의문의 실행 결과가 직접적으로 출력되는 경우에는 UNION SQL Injection을 우선적으로 시도해 볼 수 있습니다 UNION SQL Injection
지금까지는 SQL Injection이 가능한 곳을 알고 있는 경우에 어떤 공격을 시행할 수 있는지 알아봤다면, 이제는 SQL Injection이 가능한 곳, 즉 SQL Injection Point를 찾는 과정에 대해 알아보도록 하겠습니다 > ‼️ SQL Inject
1️⃣5️⃣6️⃣7️⃣SQLi 포인트 찾기 문제 주어진 계정으로 로그인 normaltic' 으로 로그인 시도 normaltic' and '1'='1 로 로그인 시도  문제는 아래와 같은 페이지에서 비밀 데이터를 찾아내는 것입니다 페이지를 관찰해보니 아이디를 검색해 해당 아이디의 정보를 보는 곳 같네요 저장된 데이터를 출력해야하니 DB를 활용하는 페이
SQL injection은 데이터를 사용하는 곳에서 작성된 SQL문에 다른 SQL문을 주입해 원하는 결과를 얻어내는 공격입니다 SQL injection에는 여러가지 방법이 있는데요, 이번엔 UNION을 활용한 SQL Injection을 알아보겠습니다 그럼 먼저 U