DVWA 실습
XSS (Stored)
low
방명록 형식
입력한 값이 들어간다
message에 스크립트를 넣어준다
<script>alert(document.cookie)</script>
삽입된 모습 확인
F5하면 쿠키 값이 나옴
medium
이전 단계의 스크립트를 쓰면 태그를 지우는 것 같다
소스코드를 보면
$message = htmlspecialchars( $message );
$name = str_replace( '<script>', '', $name );
이 부분이 걸린다
message는 안될 것 같고 name에
<SCRIPT>alert(document.cookie)</script>를 넣어보자
maxlength를 바꿔준 후 넣어주자
스크립트 들어간 모습
F5해서 쿠키 값 확인
high
이전 단계 스크립트를 사용하면 막힘
소스코드를 보면
$name = preg_replace( '/<(.)s(.)c(.)r(.)i(.)p(.)t/i', '', $name );
script태그를 막아둠
→ 이미지 태그를 사용하자
<img src="1" onerror="alert(document.cookie)">
스크립트 들어간 모습
F5하면 쿠키 값을 확인할 수 있음
728x90
'동아리 > 팀 스터디' 카테고리의 다른 글
| [9기 심화] 웹 취약점 분석 12 (0) | 2024.05.02 |
|---|---|
| [9기 심화] 웹 취약점 분석 11 (0) | 2024.05.01 |
| [9기 심화] 웹 취약점 분석 09 (0) | 2024.03.28 |
| [9기 심화] 웹 취약점 분석 08 (0) | 2024.03.28 |
| [9기 심화] 웹 취약점 분석 07 (0) | 2024.03.28 |