이클립스에서 Reflective XSS가 발생하는 원인 찾기

이클립스에서 Reflective XSS가 발생하는 원인 찾기

이전 포스트에 이어서 작성하였습니다. [보안 취약점 진단 및 대응/WebGoat, Bee-Box] - openeg Reflective XSS openeg Reflective XSS openeg Reflective XSS (1) Kali Linux에서 http://victim:8080/openeg사이트로 이동하여 로그인 합니다.(test / test) (2) 메뉴에서 보안코딩테스트 > XSS를 클릭합니다. (3) 입력값이 어떻게 처리되는지 확인합니다. (3) psjin230.tistory.com 이클립스에서 Reflective XSS가 발생하는 원인 찾기 (1) eclipse에서 Ctrl + Shift + R을 눌러 TestController.Java를 검색합니다. (2) 문제가 되는 부분을 확인합니다. ..

  • format_list_bulleted 보안 취약점 진단 및 대응/openeg
  • · 2023. 12. 19.
  • textsms
openeg Reflective XSS

openeg Reflective XSS

openeg Reflective XSS (1) Kali Linux에서 http://victim:8080/openeg사이트로 이동하여 로그인 합니다.(test / test) (2) 메뉴에서 보안코딩테스트 > XSS를 클릭합니다. (3) 입력값이 어떻게 처리되는지 확인합니다. (3)-1 단순 문자열 apple를 입력합니다. (3)-2 태그를 포함한 applecherry를 입력합니다. => 태그를 넣으면 문자열로 인식하는 것이 아닌 태그로 인식하여 출력됩니다. (3)-2 스크립트를 포함한 applecherry를 입력합니다. => 스크립트 태그 또한 그대로 해석되어 실행됩니다. => XSS 취약점이 있음을 알 수 있습니다.

  • format_list_bulleted 보안 취약점 진단 및 대응/openeg
  • · 2023. 12. 19.
  • textsms
SQL Injction 취약점을 이용한 인증과정 우회

SQL Injction 취약점을 이용한 인증과정 우회

SQL Injection 취약점 - 외부 입력값에 쿼리 조작 문자열 (# ') 포함 여부를 확인하지 않고 쿼리문 생성 및 시행에 사용하는 경우 - 쿼리의 구조와 의미가 변형되어 실행되는 취약점 원래는 ID(식별정보)와 PW(인증정보)를 비교하여 로그인을 해야하는데, 쿼리의 구조와 의미가 변형되면 ID(식별정보)만으로도 로그인이 가능해집니다. 예상되는 문제점 - 권한 밖의 데이터 접근 가능 - 해당 데이터베이스가 동작하는 서버를 원격에서 조작 가능(서버의 제어권 탈취) - 해당 쿼리를 통해 제공하는 기능을 우회 또는 오용하는 것이 가능 #1 사용자 계정을 모르는 상태로 로그인 시도 (1) Window xp에서 http://victim:8080/openeg사이트에 접속하여 임의 값을 넣어 로그인을 해봅니다...

  • format_list_bulleted 보안 취약점 진단 및 대응/openeg
  • · 2023. 12. 14.
  • textsms