9주차 과제
[1] XSS 내용 정리
[2] XSS 취약점 찾기 & 보고서
- XSS1, 2, 3, 4, 5, 6
- 제출: normalticpublic@gmail.com
[3] 웹 개발 과제
[+] 내가 만든 웹 사이트에서 XSS 싹 다 찾아보기
크리스마스 선물~
Lord of SQLInjection
los.rubiya.kr
[2] XSS 취약점 찾기 & 보고서
미리 말하자면 XSS 취약점 찾기가 쉽지 않았다.
보고서는 고사하고 취약점 6개 찾기도 못 끝낸 상태다.
시간을 두고 천천히 찾아봐야 할 것 같다..
일단은 취약점 확인한 첫번째 XSS 1 부터 정리해보겠다.
1. XSS 1
회원가입을 하면 나타나는 메인페이지다. ID는 kkk, 비밀번호는 1234로 가입했다.
여기서 공지사항을 클릭하여 다음 페이지로 넘어간다.
공지 사항 페이지다. 게시판이라고 생각하면 될 것 같다.
현재 글을 하나 올린 상태고 이 글을 확인해 보겠다.
글을 클릭하면 제목과 내용을 볼 수 있다.
내용에는 XSS를 위한 특수문자 < " ' > 를 입력해두었다.
Burp Suite를 사용해서 페이지 소스에서는 어떻게 보이는지 확인해보겠다.
입력한 특수문자 중 < 는 < 로 > 는 > 로 치환되는 것을 확인할 수 있다.
글의 내용 부분에는 XSS를 사용할 수 없음을 확인했다.
새 글을 작성하여 이번에는 제목 부분에 특수문자를 넣었다.
이번에는 어떻게 나오는 지 Burp Suite로 확인해보자.
특수문자가 모두 그대로 입력되는 것을 확인할 수 있다.
이제 이곳에 스크립트를 삽입하면 된다.
경고 메시지를 띄우는 코드를 javascript로 넣어보았다.
예상했던 대로 잘 삽입됐다.
경고 메시지도 작동한다.
이 부분을 통해 단순 경고 메시지가 아닌 여러 악성 코드를 삽입할 수 있다.
2. 그 외 XSS 2, 3, ...
XSS 2와 XSS 3까지 찾기는 했는데..
다음에 모든 취약점을 찾고 난 이후에 보고서로 정리하도록 하겠다.
[+] 내가 만든 웹 사이트에서 XSS 싹 다 찾아보기
이것도 XSS 취약점을 먼저 찾고 난 이후에 해보도록 하겠다ㅠ
이게 급해서..