■ Day 2 HTML INJECTION (레벨 medium)

■ Low 레벨에서는 손쉽게 웹 해킹이 가능하였지만 medium에서는 다름

■ 예시

실제 똑같은 Html injection 이자만 일반 텍스트로 인식을하여 출력되는 것을 확인해 볼수 있다.

즉, 개발자가 개발된 function이 잘 작동하고 있다는 의미

이러한 일반 텍스트를 우회하기 위해서는 인코딩을 통한 방법이 한가지로 존재한다.

인코딩을 변환하는 사이틑 하단을 참조

https://coderstoolbox.net/string/#!encoding=url&action=encode&charset=utf_8

https://www.w3schools.com/tags/ref_urlencode.asp

이렇게 인코딩된것을 앞서 실행한 firstname , lastname에 기입을 하게 된다면?

low레벨에서 처럼 XSS가 실행된것을 확인 만약 이것을 iframe이미지 혹은 외부링크로 연결시킬수 악성코드를 통한 공격도 가능하게 된다 인코딩에 대한 방지를 추가해야 함