728x90
반응형
- HTML 인젝션 반사(POST요청)
low level 의 경우
medium level
더블 인코딩 : 인코딩에 사용하는 %문자 자체도 인코딩하는 것 -> %문자의 인코딩 값은 %25
high level
security level 'low'에서 사용한 html 태그를 first name, last name에 입력하고 go를 하면 태그로 해석하지 않고 문자열로 출력한다. -> 우회과정을 거치기 때문?
- 대응방안 : HTML 태그 입력 우회
- xss_check3 함수를 통하여 입력 데이터를우회하고 있는데, 해당 함수는 htmlspecialchars 함수로 입력값을 우회하고 있다. 이 함수는 HTML에서 사용하는 특수 문자를 UTF-8형식으로 반환하며 변환하는 특수문자는 &, ", ', < ,> 이다.
반응형
'Cyber Security' 카테고리의 다른 글
| 비박스 환경을 활용한 웹 모의해킹 완벽 실습 - iframe 인젝션 (0) | 2020.01.22 |
|---|---|
| 크리덴셜스터핑 공격이란? (0) | 2020.01.22 |
| 비박스 환경을 활용한 웹 모의해킹 완벽 실습 - HTML Injection Reflected (GET) (0) | 2020.01.22 |
| 비박스 환경을 활용한 웹 모의해킹 완벽 실습 - bee-box 환경 구성, bWAPP 실행 (0) | 2020.01.22 |
| 취약점 스캐닝 도구 (0) | 2020.01.19 |