Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 자료구조
- JDBC
- MySQL
- gotify
- Database
- virtualbox
- github
- gosec
- ubuntu
- goKart
- 백준알고리즘
- firewall
- CodeQL
- sqli
- DVWA
- OpenSource
- C언어
- 알고리즘
- Juice Shop
- juice-shop
- 데이터통신
- OWASP
- Codeup
- LGTM
- Network
- SUA
- Python
- 운영체제
- JSP
- github action
Archives
- Today
- Total
비트(bit)주세요
[Juice-Shop] Reflected XSS 본문
728x90
반사 XSS : 반사 XSS를 수행하세요
GET방식으로 변수를 전달하는 곳이 존재하는지 알아보기 위해 일단 둘러봐야겠다.
?
여기를 들어가봤더니 의도치 않게 풀렸다.
개인 정보 정책 : 우리의 개인 정보 보호 정책을 읽으십시오.
다시 풀려는 문제로 돌아가서 문제를 풀어야겠다.
돋보기 모양을 보니, 검색기능 같은데
경험상 검색 쿼리는 대부분 GET 방식이였다.
테스트겸 아무거나 넣어서 검색해봐야겠다.
GET 방식이다.
이 곳에 XSS 쿼리를 넣어보아야겠다.
슬래시가 필터링 된다.
우회할 방법이 없을까?
iframe은 슬래시를 넣지 않는다.
<iframe src="javascript:alert(`xss`)">
이 구문을 넣어보겠다.
쿼리가 주입되었다.
XSS가 실행되어 문제를 푸는데 성공하였다.
XSS 공격을 시도하는 방법은 iframe 말고 여러가지이다.
필자가 몇달 전, 작성하였던 포스팅이다.
https://standardh.tistory.com/54?category=959650
XSS(Cross Side Scripting)
XSS(Cross Side Scripting) :웹 애플리케이션에서 일어나는 취약점으로 관리자가 아닌 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법 간단한 소스코드로 설명하자면 클라이언트 측
standardh.tistory.com
'SUA > 오픈소스 보안' 카테고리의 다른 글
| [Juice-Shop] Confidential Document (0) | 2021.10.20 |
|---|---|
| 정보보안 SUA - [오픈소스 보안] 3주차 (0) | 2021.10.15 |
| [Juice-Shop] Zero Stars (0) | 2021.10.11 |
| [Juice-Shop] score board 진입 (0) | 2021.10.11 |
| 정보보안 SUA - [오픈소스 보안] 2주차 (0) | 2021.10.09 |
'SUA/오픈소스 보안' Related Articles
more
