| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- 자바스크립트 API
- Oracle SQL
- 카카오프로젝트100
- 보안뉴스 요약
- 자바스크립트 기본 문법
- javascript
- python
- 자바스크립트 객체
- oracle
- 파이썬
- php
- 보안뉴스 한줄요약
- 보안뉴스
- ES6
- oracle db
- 자바스크립트 prototype
- numpy
- 보안뉴스한줄요약
- 보안뉴스요약
- 자바스크립트 element api
- 자바스크립트 jQuery
- 오라클
- 카카오프로젝트
- 깃허브
- 랜섬웨어
- 자바스크립트 node
- GIT
- 카카오프로젝트 100
- 자바스크립트
- 다크웹
- Today
- Total
목록html injection (2)
FU11M00N
2-2. bee-box 를 사용하여 HTML Injection 알아보기!
저번 포스팅에서는 GET방식의 Reflected 공격으로 html injection을 시현시켰는데요, 이번에는 POST 방식의 Reflected 공격으로 html injection을 시현해보겠습니다! 먼저 GET 메서드로 HTTP 요청하는 것과 POST 메서드로 HTTP의 차이점을 알아야 하는데요, 저번 포스팅에서 보셨듯이 GET 메서드로 HTTP 요청을 하게 되면 URL에 변수가 노출되어 공격자에게 허점을 보일 수 있는데요 POST 방식으로 메서드로 요청하게 되면 URL에 변수들이 URL에 노출이 안됩니다! 1. 레벨 low 그럼 직접 버프 스위트 프락시 도구를 사용하여 변수 값을 전달하는 구조를 확인해보겠습니다! 우선 프락시 도구를 사용하여 확인해보니 firstname과 lastname의 매개변수가 ..
2-1. bee-box 를 사용하여 HTML Injection 알아보기!
저번에는 bee-box를 배우기 위해 기본적인 OWASP TOP 10이 무엇인가에 대해 알아봤는데요, 이번에는 A1-Injection 중 에서도 html injection (GET)에 대해 알아보겠습니다. 인젝션의 공격 방법은 Reflected(반사) 기법과 Stored (저장) 기법 공격이 있습니다. 먼저 Reflected(반사) 기법의 원리는 아래의 사진과 같습니다. 이 공격은 데이터 전송을 GET 방식으로 전송할 경우 URL에 변수 이름과 값을 노출합니다. 특정 사이트에 있는 URL 주소 입력창에 직접 주소를 입력하여 공격하는 기법으로 사용됩니다. 그럼 bee-box로 실습해보겠습니다. 1. 레벨 low 먼저 First name과 Last name 필드에 html 코드를 삽입합니다. First na..