[Bronze 1. XSS] Are you admin?
·
CTF/Dream Hack
해당 문제는 설명에서 별도로 제공하고 있는 것이 없다.바로 소스코드를 분석해보자. 1. 소스코드 파일 구조D:.└─app │ app.py │ run.sh │ requirements.txt │ └─templates intro.html whoami.html report.html 2. html 페이지intro.html, whoami.html, report.html 페이지는 다음과 같다.ntro.html, whoami.html, report.html 3. 소스코드 분석1) app.py의 intro 라우터get 방식으로 name과 detail 파라미터를 받고 있다.# app.py의 intro 라우팅 코드@app.r..
[주통기반] 6. 크로스사이트 스크립팅(XSS)
·
[9기]SEGFAULT STUDY/취약점 분석 가이드 보안 권고안
1. 취약점 항목크로스사이트 스크립팅(XSS)2. 취약점 개요2.1 설명피해자의 웹 브라우저에서 실행될 수 있는 코드를 삽입하여 피해를 유도하는 공격기법이다.공격자가 웹사이트에 악성 클라이언트 사이드 코드를 삽입할 수 있도록 하는 보안 취약점 공격이다.사용자 입력값에 대한 검증이 미흡하거나 출력 시 필터링 되지 않을 경우 발생한다.공격자가 악성 스크립트를 삽입한 게시물을 피해자가 조회하거나 URL에 접속하게 되면, 악성 스크립트가 실행된다(사용자의 요청에 의해 사용자 측에서 응답)XSS는 사용자의 입력값을 받는 모든 곳에서 발생할 수 있고, 웹 서버 사용자에게 직접적인 영향을 미칠 수 있는 공격기법이다. 게시물 또는 URL에 포함된 악성스크립트의 실행으로 진행되는 공격기법이므로 불특정 다수가 대상이 된다..
[웹해킹] CSRF(Cross-Site Request Forgery) #1 기초
·
[9기]SEGFAULT STUDY/Web Hacking
1. CSRF란?1.1 설명 실제 이용자가 요청하지 않은 조작된 동작을 서버에 요청하도록 유도하는 공격이다. 서버 측에서 사용자 요청에 대한 적절한 검증 절차가 없을 경우 발생하는 취약점으로, 이로 인해 서버는 정상적인 요청과 조작된 요청을 구분하지 못하게 된다. 공격당한 사용자의 권한이 그대로 사용되기 때문에, 이 사용자의 권한 수준에 따라 피해 범위가 달라질 수 있다. 1.2 발생 가능한 피해 공격 대상의 권한으로 게시글을 작성하거나 계정 정보를 변경할 수 있다. 특정한 경우 권한 상승 또한 가능하다. 권한을 도용하여 피싱 메일을 전송하거나 금융 거래 등의 행위를 진행할 수 있다.** 보고서 작성 시 그대로 복붙이 아니라 점검 대상에서 야기될 수 있는 피해를 고려해야 함. 2. 동작 원리 CSRF ..