Notice
Recent Posts
Recent Comments
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- Volatility
- 안드로이드
- CTF-d
- beebox
- foremost
- Suninatas
- ctf
- 인시큐어뱅크
- 2018
- igoat
- InsecureBank
- otter
- base64
- ESXi
- elasticsearch
- 파이썬
- Docker
- frida
- Reflected XSS
- NTFS
- kibana
- MFT
- SQL Injection
- logstash
- vulnhub
- Openstack
- XSS
- diva
- Strings
- lord of sql injection
Archives
- Today
- Total
Information Security
XSS – Reflected(GET) 본문
XSS – Reflected(GET)
- 웹 페이지 URL에 존재하는 파라미터에 악의적인 스크립트 코드를 입력하여 사용자가 URL 클릭하면 파라미터에 입력한 악성 스크립트 코드가 실행되는 공격이다.
Level (Low)
First name 1234 Last name 1234를 입력해 URL 주소와 Welcome 1234를 확인할 수 있다.
<script>alert(1)</script>, <script>document.write(document.cookie)</script>를 입력해 쿠키 값을 확인할 수 있다.
Level (High)
그림 1-1처럼 스크립트 언어를 입력하면 그대로 노출되는 것을 알 수 있다.
대응방안
htmlspecialchars 함수를 호출하여 입력 데이터를 UTF-8로 인코딩한다. 두 번째 인자에 ENT_QUOTES를 추가하여 XSS에 사용되는 특수 문자들을 HTML 엔티티 코드로 변환하여 스크립트 코드를 입력하여도 웹 브라우저에서는 문자로 인식한다.
'Web Security > Bee-Box' 카테고리의 다른 글
| XSS – Reflected(JSON) (0) | 2019.09.07 |
|---|---|
| XSS – Reflected(POST) (0) | 2019.09.07 |
| XSS - Stored(User-Agent) (0) | 2019.08.31 |
| XSS – Change Secret (0) | 2019.08.31 |
| XSS - Stored (Blog) (0) | 2019.08.31 |
'Web Security/Bee-Box' Related Articles
more
