![]()
프롤로그XSS의 개념이랑 무엇을 할 수 있는가에 대한 정리 Cross Site Scripting(XSS)공격자가 악의적인 스크립트를 주입해서 실행시켜 공격하는 해킹 기법이다. XSS라고 부르는데, 이게 앞글자만 따면 CSS인데 XSS라고 부르는이유는? CSS는 이미 HTML 과 CSS 그게 있어서 XSS라고 한다.임의의 스크립트를 실행시켜서 공격하는 기법인데, 이게 어떻게 가능하냐?사용자의 입력값을 HTML, JS 태그로 인식을 해버리는 경우 실행이 된다. 사용자가 안녕 라고 입력을 했는데, 저 을 사용자의 입력인데 실제 태그로 인식이 되어서 h1 크기대로 출력이 되게 된다. 이렇게 실행이 되는 게 XSS기법인데, 악의적인 사용자가 등과 같은 스크립트를 작성하게 되면 실행이 된다.사용자가 URL을 클릭..
![]()
프롤로그CSRF 관련된 풀이는 오랜만이라서 개념부터 다시 정리하고, 이전 CSRF-1번 문제 되돌아보면서 이 CSRF Advanced 문제를 풀어보자 CSRF교차 사이트 요청 위조(Cross Site Request Forgery)쿠키 또는 세션을 사용해 이용자를 식별하는데, 임의 이용자의 쿠키를 사용할 수 있다? 그러면 임의 이용자의 웹 서비스 기능을 사용할 수 있다.CSRF는 임의 사용자의 권한으로 임의 주소에 HTTP 요청을 보낼 수 있는 취약점이다. CSRF 공격에 성공하기 위해서는 공격자가 작성한 악성 스크립트를 이용자가 실행하여야함.-> 메일/게시판에 글을 작성해 이용자가 이를 조회하도록 유도 IMG 태그나 FORM 태그로 요청보내면 세션아이디값이 같이 간다중요한건CSRF는 이용자가 임의 페..
![]()
문제 https://dreamhack.io/wargame/challenges/269 csrf-2 여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. CSRF 취약점을 이용해 플래그를 획득하세요. 문제 수정 내역 2023.07.18 css, html 제공 및 read_url() 코드 일부가 변경되었습니다. Referen dreamhack.io 문제코드 #!/usr/bin/python3 from flask import Flask, request, render_template, make_response, redirect, url_for from selenium import webdriver from selenium.webdriver.chrome.service import Service impor..
