비박스 환경을 활용한 웹 모의해킹 완벽 실습 - HTML Injection Refleced(POST)

 - HTML 인젝션 반사(POST요청)

low level 의 경우

 

 

medium level

더블 인코딩 : 인코딩에 사용하는 %문자 자체도 인코딩하는 것 -> %문자의 인코딩 값은 %25

 

 

high level

security level 'low'에서 사용한 html 태그를 first name, last name에 입력하고 go를 하면 태그로 해석하지 않고 문자열로 출력한다. -> 우회과정을 거치기 때문?

 

 

• 대응방안 : HTML 태그 입력 우회
• xss_check3 함수를 통하여 입력 데이터를우회하고 있는데, 해당 함수는 htmlspecialchars 함수로 입력값을 우회하고 있다. 이 함수는 HTML에서 사용하는 특수 문자를 UTF-8형식으로 반환하며 변환하는 특수문자는 &, ", ', < ,> 이다.