■ Low 레벨에서는 손쉽게 웹 해킹이 가능하였지만 medium에서는 다름
■ 예시
실제 똑같은 Html injection 이자만 일반 텍스트로 인식을하여 출력되는 것을 확인해 볼수 있다.
즉, 개발자가 개발된 function이 잘 작동하고 있다는 의미
이러한 일반 텍스트를 우회하기 위해서는 인코딩을 통한 방법이 한가지로 존재한다.
인코딩을 변환하는 사이틑 하단을 참조
https://coderstoolbox.net/string/#!encoding=url&action=encode&charset=utf_8
https://www.w3schools.com/tags/ref_urlencode.asp
이렇게 인코딩된것을 앞서 실행한 firstname , lastname에 기입을 하게 된다면?
low레벨에서 처럼 XSS가 실행된것을 확인 만약 이것을 iframe이미지 혹은 외부링크로 연결시킬수 악성코드를 통한 공격도 가능하게 된다 인코딩에 대한 방지를 추가해야 함
'23.12.24 삭제예정 > 웹해킹' 카테고리의 다른 글
| File Upload (0) | 2020.03.26 |
|---|---|
| ■ Day 3 Sql injection- medium (0) | 2019.02.12 |
| ■ Day 1 웹 해킹-디렉토리 리스팅 (0) | 2019.02.10 |
| sql injection(sqlite) (0) | 2019.02.01 |
| oracle (0) | 2019.01.30 |