Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 |
Tags
- FridaLab
- 웹 해킹
- JS
- php
- 웹 개발
- 모의해킹
- Python
- 보안 패치
- 보고서
- csrf
- 증적 사진
- 세션
- sql injection point
- union sql injection
- 문제 풀이
- 로그인페이지
- 웹개발
- 과제
- MySQL
- blind sql injection
- Error based sql injection
- 로그인
- cookie 탈취
- 게시판 만들기
- sql injection
- Los
- file upload
- lord of sql injection
- XSS
- CTF
Archives
- Today
- Total
Almon Dev
ctf 풀이 (XSS 6) 본문
ctf 문제 풀이
XSS 6
풀이
1. XSS 포인트 찾기
로그인에 실패할 때 입력한 아이디를 alert를 이용해 출력합니다.
URL로 활용이 가능한지 확인하기 위해서 GET 메서드로 변경하고 alert(1)을 삽입해 보았습니다.
2. 스크립트 삽입하기
쿠키를 탈취하고 전송하는 스크립트를 삽입합니다.
3. 스크립트 실행하기
스크립트를 삽입한 악성 URL을 봇이 접속하도록 합니다.
대응 방법
- 사용자의 입력을 HTML Entity로 변환해서 응답합니다.
- POST를 이용해서 데이터를 받는 경우 GET을 사용하지 못하도록 합니다.
'웹 해킹 > 웹 해킹(ctf)' 카테고리의 다른 글
| ctf 풀이 (Basic Script Prac) (0) | 2024.12.31 |
|---|---|
| ctf 풀이 (XSS Challenge) (0) | 2024.12.23 |
| ctf 풀이 (XSS 5) (2) | 2024.12.23 |
| ctf 풀이 (XSS 4) (0) | 2024.12.23 |
| ctf 풀이 (XSS 3) (1) | 2024.12.23 |
'웹 해킹/웹 해킹(ctf)' Related Articles
more
