ํ‹ฐ์Šคํ† ๋ฆฌ ๋ทฐ

CHALLENGE

XSS Challenges 11

๐ŸŒง: 2021. 8. 27.

๋ ˆ๋ฒจ 11๋‹จ๊ณ„๋ฅผ ๋ณด์‹œ๋ฉด ๋น„๊ต์  ์‹ฌํ”Œํ•œ ํŽ˜์ด์ง€ ๊ตฌ์„ฑ์œผ๋กœ ๋˜์–ด ์žˆ์Šต๋‹ˆ๋‹ค. ์šฐ์„  ์†Œ์Šค์ฝ”๋“œ ๋จผ์ € ๋ณด๋„๋ก ํ•˜๊ฒ ์Šต๋‹ˆ๋‹ค.

 

์ด๋ฒˆ์—๋Š” ๋‹ค์†Œ ๋ณต์žกํ•œ ์ฝ”๋“œ๋“ค๋กœ ๊ตฌ์„ฑ๋˜์–ด ์žˆ์Šต๋‹ˆ๋‹ค. .php?p=์— ์ž…๋ ฅ๋œ Payload๋Š” "a"๋ผ๋Š” ๋ณ€์ˆ˜์— ๋‹ด๊ธฐ๊ฒŒ ๋ฉ๋‹ˆ๋‹ค.

 

11๋‹จ๊ณ„์—์„œ๋ถ€ํ„ฐ๋Š” ์‹คํ–‰ ๊ฐ€๋Šฅํ•œ ์ž…๋ ฅ ๊ฐ’ ์ด์™ธ์—๋Š” ๋ชจ๋‘ ์˜ˆ์™ธ์ฒ˜๋ฆฌ๋ฅผ ์ง„ํ–‰ํ•˜๊ณ  ์žˆ์–ด ๋ณ„๋„์˜ ๋ธ”๋ก ํ™”๋ฉด์ด ๋‚˜ํƒ€๋‚˜๊ฒŒ ๋ฉ๋‹ˆ๋‹ค. ์ด๋ฌธ์ œ๋ฅผ ํ‘ธ์‹ ๋ถ„๋“ค์€ ์ € "Hacking attempt" ํ™”๋ฉด์„ ์ˆ˜์‹ญ ๋ฒˆ ๋ดค์„ ๊ฒƒ์ด๋ผ ์ƒ๊ฐํ•ฉ๋‹ˆ๋‹ค...

 

์ €๋Š” ํ•ด๊ฒฐํ•˜๊ธฐ ์œ„ํ•ด ์—ฌ๋Ÿฌ ๊ธฐ๋ฒ•๋“ค์˜ Bofore After๋ฅผ ๋ถ„์„ํ–ˆ๋Š”๋ฐ ๋„์ €ํฌ ์‹คํ–‰๊ฐ€๋Šฅํ•œ ๊ตฌ๋ฌธ์„ ๋ชป ์ฐพ์•˜์Šต๋‹ˆ๋‹ค.. ํžŒํŠธ๋ผ๊ณ ๋Š” ์กด์žฌํ•˜์ง€ ์•Š๋Š” ์ฑŒ๋ฆฐ์ง€๊ธฐ ๋•Œ๋ฌธ์— ํ•œ์ฐธ์„ ํ—ค๋งค๋‹ค๊ฐ€ security.stackexchange.com์—์„œ ์šฐ์—ฐํžˆ ํ•ด๊ฒฐ๋ฒ•์„ ํ™•์ธํ–ˆ์Šต๋‹ˆ๋‹ค.

 

https://security.stackexchange.com/questions/134904/how-to-perform-dom-xss

๊ฒฐ๋ก ์ ์œผ๋กœ ์•…์˜์ ์ธ ์Šคํฌ๋ฆฝํŠธ์‹คํ–‰์„ ๋ง‰์„ ์ˆ˜ ์žˆ๋Š” ๋งˆ์น˜ ์†”๋ฃจ์…˜๊ฐ™์€ ๊ธฐ๋Šฅ์„ ํ†ตํ•ด ์ž…๋ ฅ ๊ฐ’์„ ๋ธ”๋ก ์ฒ˜๋ฆฌํ•˜๊ณ  ์žˆ์–ด WAF Bypass ๊ฐ™์€ ํ˜•ํƒœ์˜ ์ฝ”๋“œ๋ฅผ ๊ตฌ์‚ฌํ•ด์•ผ ๋ฉ๋‹ˆ๋‹ค. ์–ด๋Š ์ •๋„ ์กฐ๊ธˆ์€ ์˜ˆ์ƒ์„ ํ–ˆ๊ธฐ์— //, / , /**/, <!--> ๊ฐ™์€ ์ฃผ์„ ๊ธฐ๋ฒ•์„ ์ถ”๊ฐ€ํ•ด์„œ ์ง„ํ–‰ํ–ˆ์—ˆ์ง€๋งŒ ์˜ค๋กœ์ง€ ํ—ˆ์šฉ๋œ ๊ฒƒ์€ " # " ํ•œ ์ค„ ์ฃผ์„์ด์—ˆ์Šต๋‹ˆ๋‹ค.

 

ํŒ์—…์ฐฝ์ด ์„ฑ๊ณต์ ์œผ๋กœ ๋‚˜ํƒ€๋‚˜๋Š” ๊ฒƒ์„ ๋ณด์‹ค ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ํ•ด๋‹น ๋ฌธ์ œ์—์„œ ์กฐ๊ธˆ ์•„์‰ฌ์› ๋˜ ์ ์€ ์†”๋ฃจ์…˜ ์šฐํšŒ ๊ธฐ๋ฒ•์˜ ์ฑŒ๋ฆฐ์ง€๋ฉด "#" ์ด์™ธ์— ๋‹ค์–‘ํ•œ ์ฃผ์„ ๊ธฐ๋ฒ•๋“ค์„ ํ•จ๊ป˜ ๋ณ‘ํ–‰ํ•˜์—ฌ Payload Custom์„ ๊ณต๋ถ€ํ•  ์ˆ˜ ์žˆ๊ฒŒ๋” ํ•ด์คฌ์œผ๋ฉด ์–ด๋•Ÿ์„๊นŒ ์‹ถ์€ ๋งˆ์Œ์ด ์žˆ์Šต๋‹ˆ๋‹ค.

'CHALLENGE' ์นดํ…Œ๊ณ ๋ฆฌ์˜ ๋‹ค๋ฅธ ๊ธ€

XSS Challenges 13  (0) 2021.08.29
XSS Challenges 12  (0) 2021.08.28
XSS Challenges 10  (0) 2021.08.26
XSS Challenges 9  (0) 2021.08.25
XSS Challenges 8-1  (0) 2020.12.12
๊ณต์œ ํ•˜๊ธฐ ๋งํฌ
Comment