Almon Dev

ctf 문제 풀이 XSS Challenge  풀이1. XSS 포인트 찾기게시글 검색하는 기능에서 검색어가 화면에 출력되고 있지만 서버에서는 응답값이 오지 않습니다.이런 경우는 DOM Based XSS를 확인해야 합니다. 서버의 응답값을 보면 document.write라는 스크립트가 존재합니다.document.write함수는 html 코드를 페이지에 삽입해 주기 때문에 xss에 취약합니다.  검색어에 을 입력하면 스크립트가 실행되는 것을 확인할 수 있습니다. 2. 스크립트 삽입하기쿠키를 탈취하는 스크립트를 삽입합니다. 3. 스크립트 실행하기악성 URL로 봇이 접속하도록 합니다.  대응 방법HTML에 문자열을 삽입할 때는 문자열로만 해석하는 함수를 사용하는 것이 좋습니다.ex) js -> element.te..

ctf 문제 풀이 XSS 6  풀이1. XSS 포인트 찾기로그인에 실패할 때 입력한 아이디를 alert를 이용해 출력합니다.  URL로 활용이 가능한지 확인하기 위해서 GET 메서드로 변경하고 alert(1)을 삽입해 보았습니다. 2. 스크립트 삽입하기쿠키를 탈취하고 전송하는 스크립트를 삽입합니다. 3. 스크립트 실행하기스크립트를 삽입한 악성 URL을 봇이 접속하도록 합니다.  대응 방법사용자의 입력을 HTML Entity로 변환해서 응답합니다.POST를 이용해서 데이터를 받는 경우 GET을 사용하지 못하도록 합니다.