DVWA 실습
XSS (DOM)
low
get방식으로 받아서 넘겨주는 모습
url에서 변경이 가능하다
<script>alert(document.cookie)</script>
medium
같은 스크립트로 실행했지만 안됨
소스코드를 확인해보면
<script 발견 시 english로 변경
→ img 태그 사용
<img src="#" onerror="alert(document.cookie)">
했지만 안돼서 개발자 도구로 확인해보면
태그 안에 들어가있다
닫아주자
</option></select><img src="#" onerror="alert(document.cookie)">
high
소스코드를 보면 get 방식으로 가져와서 null인지 확인하고
화이트리스트 설정을 해서 제한하고 있다
허용된 값이 아니면 english로 리다이렉션
=English&<script>alert(document.cookie)</script>
&로 연결해서 스크립트 전달
728x90
'동아리 > 팀 스터디' 카테고리의 다른 글
| [9기 심화] 웹 취약점 분석 10 (0) | 2024.03.28 |
|---|---|
| [9기 심화] 웹 취약점 분석 09 (0) | 2024.03.28 |
| [9기 심화] 웹 취약점 분석 07 (0) | 2024.03.28 |
| [9기 심화] 웹 취약점 분석 06 (0) | 2024.03.22 |
| [9기 심화] 웹 취약점 분석 05 (0) | 2024.03.14 |