kkamagi's story

IT, 정보보안, 포렌식, 일상 공유

Cyber Security

비박스 환경을 활용한 웹 모의해킹 완벽 실습 - HTML Injection Refleced(POST)

까마기 2020. 1. 22. 15:59
728x90
반응형

 - HTML 인젝션 반사(POST요청)

low level 의 경우
 
 
medium level
더블 인코딩 : 인코딩에 사용하는 %문자 자체도 인코딩하는 것 -> %문자의 인코딩 값은 %25
 
 
high level
security level 'low'에서 사용한 html 태그를 first name, last name에 입력하고 go를 하면 태그로 해석하지 않고 문자열로 출력한다. -> 우회과정을 거치기 때문?
 
 
  • 대응방안 : HTML 태그 입력 우회
  • xss_check3 함수를 통하여 입력 데이터를우회하고 있는데, 해당 함수는 htmlspecialchars 함수로 입력값을 우회하고 있다. 이 함수는 HTML에서 사용하는 특수 문자를 UTF-8형식으로 반환하며 변환하는 특수문자는 &, ", ', < ,> 이다.
 
반응형