본문 바로가기

XSS

[Dream Hack] xss-2 풀이
Wargame 2022. 9. 7. [Dream Hack] xss-2 풀이 2022.09.06 - [Web hacking] - [Dream Hack] xss-1 풀이 [Dream Hack] xss-1 풀이 Cross-Site-Scripting 를 이용한 문제로 자바 스크립트 코드에 대한 이해가 필요하다. 나도 처음 해보았기 때문에 많은 시행착오와 여러 정보들를 확인하였다. 문제 분석 입력받은 URL을 확인하는 봇이 taesam.tistory.com Cross-Site-Scripting 를 이용한 두번째 문제이다. 푸는데 굉장히 어려웠으나 xss 공격 코드에 대한 이해도가 높아졌다고 생각한다. 문제 분석 xss-1 문제와 동일한 정보와 웹 페이지를 제공한다. 각 페이지를 분석해보자. vuln(xss) page를 클릭한 페이지. URL을 보면 param에 xss 코드가 들어가있으나..
[Dream Hack] xss-1 풀이
Wargame 2022. 9. 6. [Dream Hack] xss-1 풀이 Cross-Site-Scripting 를 이용한 문제로 자바 스크립트 코드에 대한 이해가 필요하다. 나도 처음 해보았기 때문에 많은 시행착오와 여러 정보들를 확인하였다. 문제 분석 입력받은 URL을 확인하는 봇이 구현되어 있다고 한다. 아마 피해자 역할을 대신해서 해준다고 짐작해볼 수 있다. 바로 웹페이지를 확인해보자 바로 3개의 링크가 보인다. 어떤 기능을 하는 지 알아보자 첫번째 페이지 'vuln(xss) page' 의 경우 들어가자마자 alert가 실행되며 주소에는 param 값으로 xss 공격 코드가 입력되어있다. 이 페이지는 xss 공격을 위한 script가 작동하는 것을 알 수 있다. 두번째 페이지 'memo' 는 memo라는 파라미터 값에 들어간 데이터를 저장하여 입력된 모든 데이터를 출력해..
Calendar
«   2025/02   »
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28
Archives
Visits
Today
Yesterday

티스토리툴바