dvwa

[DVWA] CSP 문제풀이

IndexCSP (Content Security Policy)lowmediumhighimpossibleCSP (Content Security Policy)CSP는 XSS 및 Injection 공격을 탐지하고 완화하기 위해 도움을 주는 보안 계층이다. HTTP 헤더를 기반으로 정책을 추가하는 방식이다.해당 low 레벨 문제에서는 특정 URL을 받아 include하는 폼이 있다.low

[DVWA] CSRF 문제풀이

IndexCSRFlowmediumhighimpossibleCSRFCSRF 탭에는 패스워드를 변경하는 폼이 작성되어 있다. 그리고 Test Credentials로 계정의 비밀번호가 맞는지 확인할 수 있다. CSRF 공격을 통해 일반 사용자가 원치 않게 비밀번호가 수정되는 것을 실습한다. low

[Webgoat] XSS 문제풀이

IndexWebgoat 설치Webgoat 서버 실행2번 문제7번 문제10번 문제11번 문제 Webgoat 설치https://github.com/WebGoat/WebGoat/releases/tag/v8.2.2 Webgoat 서버 실행java -jar webgoat-server-8.2.2.jar 2번 문제XSS가 발생한다면, 클라이언트 사용자의 쿠키 값을 탈취할 수 있다는 것을 확인할 수 있다. 또한, 두개의 탭을 이용하여 콘솔 창에 을 입력해보니, 신용 카드 번호 입력 창에서 XSS 가 발생한 것을 확인할 수 있다.문제 7 클리어! 10번 문제먼저, DOM이란 웹 브라우저가 HTML 페이지를 인식하는 방식을 의미한다. tree 형식으로 태그들이 존재하기 때문에, 키워드를 통해 필요로 하는 작업을 동적으로 ..

[DVWA] XSS 문제풀이

IndexReflected XSSlowmediumhighimpossibleDOM Based XSSlowmediumhighimpossiblestored XSSlowmediumhighimpossibleReflected XSSlowHello ' . $_GET[ 'name' ] . '';}?>array_key_exists 함수로 GET 방식으로 넘어오는 파라미터에서 name이라는 문자열이 있는지, 그 값은 NULL이 아닌지 확인한다. script 구문만 넣게되면, 넘어오는 name 값이 NULL로 인식하기 때문에 앞에 더미 값을 넣어주면 될 것 같다.aaname에 아무런 dummy 값을 넣어주고, script 구문을 넣어주었다.XSS 취약점이 발생하지만, security=low라는 document.cookie ..