XSS 공격 실습(Reflected, Stored, DOM)

보호되어 있는 글입니다.

  • format_list_bulleted 모의해킹
  • · 2024. 2. 5.

XSS(Cross Site Scripting) 공격

보호되어 있는 글입니다.

  • format_list_bulleted 모의해킹
  • · 2024. 2. 4.
Bee-Box(비박스) CSRF

Bee-Box(비박스) CSRF

Bee-Box(비박스) CSRF (1) Bee-Box에서 http://beebox/ 사이트로 이동하여 회원가입을 합니다. (2) 계정이 잘 만들어졌는지 확인하기 위해 생성한 계정으로 로그인합니다. (3) 로그아웃 후 bee계정으로 로그인 합니다. (4) Cross-Site Request Forgery(Change Password)로 이동합니다. => 패스워드 변경페이지를 보면 현재 패스워드를 입력하는 재인증을 위한 입력창이 존재하지 않음을 볼 수 있습니다. (5) 패스워드를 password로 변경합니다. => 패스워드를 변경하는 중요 기능을 구현할 때 요청 주체 및 요청 절차를 확인하지 않고 요청을 처리(패스워드 변경)하고 있습니다. => 주소창을 확인해보면 정상적인 요청에 따른 절차인지 확인하는 토큰 ..

  • format_list_bulleted 보안 취약점 진단 및 대응/Bee-Box
  • · 2023. 12. 20.
  • textsms
Bee-Box(비박스) 소스코드에서 Reflected XSS가 발생하는 원인 찾기

Bee-Box(비박스) 소스코드에서 Reflected XSS가 발생하는 원인 찾기

Bee-Box 소스코드에서 Reflected XSS가 발생하는 원인 찾기 [보안 취약점 진단 및 대응/Bee-Box] - Bee-Box(비박스) Cross-Site Scripting - Reflected(GET) Bee-Box(비박스) Cross-Site Scripting - Reflected(GET) Bee-Box(비박스) Cross-Site Scripting - Reflected(GET) (1) Kali Linux에서 http://beebox/ 사이트로 이동하여 로그인 하고, 목록에서 Cross-Site Scripting - Reflected(GET)을 찾아 이동합니다. (bee/ bug) (2) 사용자 입력 값을 psjin230.tistory.com #1 XSS 공격을 방어하기 위해 Bee-Box ..

  • format_list_bulleted 보안 취약점 진단 및 대응/Bee-Box
  • · 2023. 12. 19.
  • textsms
Bee-Box(비박스) Cross-Site Scripting - Reflected(GET)

Bee-Box(비박스) Cross-Site Scripting - Reflected(GET)

Bee-Box(비박스) Cross-Site Scripting - Reflected(GET) (1) Kali Linux에서 http://beebox/ 사이트로 이동하여 로그인 하고, 목록에서 Cross-Site Scripting - Reflected(GET)을 찾아 이동합니다. (bee/ bug) (2) 사용자 입력 값을 작성하고 Go를 클릭하여 결과를 확인합니다. => 입력된 값이 출력에 사용되는 것을 확인 (3) 사용자 값이 서버로 전달되는 과정을 확인합니다. Reflected(GET) 사이트에서 오른쪽 마우스 클릭 > View Page Source 클릭 => 전달과정은 GET http://beebox/bWAPP/xss_get.php?firstname=gildong&lastname=hong&form=s..

  • format_list_bulleted 보안 취약점 진단 및 대응/Bee-Box
  • · 2023. 12. 19.
  • textsms
이클립스에서 Stored XSS가 발생하는 원인 찾기

이클립스에서 Stored XSS가 발생하는 원인 찾기

이전 포스트에 이어서 작성하였습니다. [보안 취약점 진단 및 대응/openeg] - openeg Stored XSS openeg Stored XSS openeg Stored XSS Stored XSS 취약점이 있는 게시판을 beef-xss 프레임워크를 이용하여 공격 (1) Kali Linux에서 http://victim:8080/openeg사이트로 이동하여 로그인 합니다.(test / test) (2) 메뉴에서 게시판을 클릭하 psjin230.tistory.com 이클립스에서 Stored XSS가 발생하는 원인 찾기 (1) eclipse에서 Ctrl + Shift + R을 눌러 BoardController.Java를 검색합니다. (2) 문제가 되는 부분을 확인합니다. (3) 문제가 있는 코드를 수정합니다..

  • format_list_bulleted 보안 취약점 진단 및 대응/openeg
  • · 2023. 12. 19.
  • textsms
openeg Stored XSS

openeg Stored XSS

openeg Stored XSS Stored XSS 취약점이 있는 게시판을 beef-xss 프레임워크를 이용하여 공격 (1) Kali Linux에서 http://victim:8080/openeg사이트로 이동하여 로그인 합니다.(test / test) (2) 메뉴에서 게시판을 클릭하여 게시글 하나를 작성합니다. => 공격자가 게시판에 스크립트 코드를 사용할 수 있음을 확인 => 공격자가 원하는 공격을 넣고, 불특정 다수가 들어와서 이 게시글을 보게 되면 스크립트 코드가 동작하면서 공격이 실행됨 (3) Kali linux에서 beef-xss를 설치합니다. $ sudo apt update $ sudo apt install -y beef-xss (4) beef-xss를 실행합니다. $ sudo beef-xss ..

  • format_list_bulleted 보안 취약점 진단 및 대응/openeg
  • · 2023. 12. 19.
  • textsms
이클립스에서 Reflective XSS가 발생하는 원인 찾기

이클립스에서 Reflective XSS가 발생하는 원인 찾기

이전 포스트에 이어서 작성하였습니다. [보안 취약점 진단 및 대응/WebGoat, Bee-Box] - openeg Reflective XSS openeg Reflective XSS openeg Reflective XSS (1) Kali Linux에서 http://victim:8080/openeg사이트로 이동하여 로그인 합니다.(test / test) (2) 메뉴에서 보안코딩테스트 > XSS를 클릭합니다. (3) 입력값이 어떻게 처리되는지 확인합니다. (3) psjin230.tistory.com 이클립스에서 Reflective XSS가 발생하는 원인 찾기 (1) eclipse에서 Ctrl + Shift + R을 눌러 TestController.Java를 검색합니다. (2) 문제가 되는 부분을 확인합니다. ..

  • format_list_bulleted 보안 취약점 진단 및 대응/openeg
  • · 2023. 12. 19.
  • textsms