9주차 과제

모의해킹스터디_과제 2024. 1. 3. 15:47

~~[1] XSS 내용 정리~~

[2] XSS 취약점 찾기 & 보고서

~~[3] 웹 개발 과제~~

[+] 내가 만든 웹 사이트에서 XSS 싹 다 찾아보기

크리스마스 선물~

Lord of SQLInjection

los.rubiya.kr

미리 말하자면 XSS 취약점 찾기가 쉽지 않았다.

보고서는 고사하고 취약점 6개 찾기도 못 끝낸 상태다.

시간을 두고 천천히 찾아봐야 할 것 같다..

일단은 취약점 확인한 첫번째 XSS 1 부터 정리해보겠다.

회원가입을 하면 나타나는 메인페이지다. ID는 kkk, 비밀번호는 1234로 가입했다.

여기서 공지사항을 클릭하여 다음 페이지로 넘어간다.

공지 사항 페이지다. 게시판이라고 생각하면 될 것 같다.

현재 글을 하나 올린 상태고 이 글을 확인해 보겠다.

글을 클릭하면 제목과 내용을 볼 수 있다.

내용에는 XSS를 위한 특수문자 < " ' > 를 입력해두었다.

Burp Suite를 사용해서 페이지 소스에서는 어떻게 보이는지 확인해보겠다.

입력한 특수문자 중 < 는 < 로 > 는 > 로 치환되는 것을 확인할 수 있다.

글의 내용 부분에는 XSS를 사용할 수 없음을 확인했다.

새 글을 작성하여 이번에는 제목 부분에 특수문자를 넣었다.

이번에는 어떻게 나오는 지 Burp Suite로 확인해보자.

특수문자가 모두 그대로 입력되는 것을 확인할 수 있다.

이제 이곳에 스크립트를 삽입하면 된다.

경고 메시지를 띄우는 코드를 javascript로 넣어보았다.

예상했던 대로 잘 삽입됐다.

경고 메시지도 작동한다.

이 부분을 통해 단순 경고 메시지가 아닌 여러 악성 코드를 삽입할 수 있다.

XSS 2와 XSS 3까지 찾기는 했는데..

다음에 모든 취약점을 찾고 난 이후에 보고서로 정리하도록 하겠다.

이것도 XSS 취약점을 먼저 찾고 난 이후에 해보도록 하겠다ㅠ

이게 급해서..