Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- Cross Site Scripting
- 워게임
- Lord of SQL Injection
- DreamHack
- 정보보안
- Dremhack
- Hackerfactory
- 드림핵
- DVWA
- SuNiNaTas
- Weak Session IDs
- Web Hacking
- DOM-Based XSS
- sql injection
- Los
- Insecure CAPTCHA
- 해커팩토리
- bypass CAPTCHA
- TeamH4C
- 정보보호
- XSS
- H4CKINGGAME
- 써니나타스
- File Upload Vulnerability
- webhacking.kr
- 빡공팟 6기
- 웹 해킹
- wargame
- Remote File Inclusion
- 빡공팟 4기
Archives
- Today
- Total
도카이트
[DVWA] DOM-Based XSS (Low) 본문
728x90
반응형
XSS (Cross Site Scripting)
악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말한다. 공격에 성공하면
사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 보통 의도치 않은 행동을 수행시키거나
쿠키나 세션 토큰 등의 민감한 정보를 탈취한다.
DOM-based XSS
악성 스크립트가 URL Fragment에 삽입되는 XSS
Fragment는 서버 요청 / 응답에 포함되지 않는다.
페이지 화면
- 언어를 선택할 수 있는 옵션이 존재한다!
- Select를 클릭 시 URL에 default 파라미터 값이 추가된다!
default의 파라미터 값으로 option 내용 전달
- English를 선택하고 Select 버튼을 클릭하자 URL에 default 파라미터 값으로 English가 추가되었다!
- 해당 파라미터 부분에 JavaScript 구문을 삽입하여 XSS 공격을 시도해보도록 한다!
alert 함수를 이용한 경고창 출력
- default의 파라미터 값으로 JavaScript 구문을 삽입하여 페이지 탐색 시 JavaScript 구문이 실행된다.
- alert 함수가 정상적으로 실행됨을 통해서 XSS 공격이 이루어졌음을 확인할 수 있다 !
728x90
'Web > DVWA' 카테고리의 다른 글
| [DVWA] Stored XSS (Low) (0) | 2022.05.20 |
|---|---|
| [DVWA] Reflected XSS (Low) (0) | 2022.05.20 |
| [DVWA] Weak Session IDs (Low) (0) | 2022.05.19 |
| [DVWA] Blind SQL Injection (Low) (0) | 2022.05.19 |
| [DVWA] SQL Injection (Low) (0) | 2022.05.19 |
'Web/DVWA' Related Articles
more
Comments