POST 메소드를 사용하면 URL에 전송되는 변수 값이 노출되지 않습니다. 이번 포스팅은 버프스위트라는 프록시 툴을 사용해서 취약한 파라미터를 알아내고, 변수값을 전달하는 것을 다뤄보겠습니다! 우선 프록시 툴을 사용하려면, 프록시 설정을 먼저 해주어야합니다. 윈도우 키를 누르고 프록시를 검색하면 프록시 서버를 설정할 수 있습니다. 위의 그림과 같이 설정해주세요! 반드시 저장을 눌러주셔야 버프스위트가 정상적으로 동작할 수 있습니다. 다음은 버프스위트를 실행시키고, Proxy 탭에서 intercept is on 을 클릭합니다. 이와 같은 화면이 뜨면 됩니다. 프록시 서버를 설정하면 인터넷이 되지 않으므로, 프록시는 우리가 요청을 확인하고 싶을 때만 켜주면 됩니다. HTML Injection - Reflect..

HTML 인젝션이란? HTML 인젝션은 일종의 코드 인젝션 공격입니다. HTML 인젝션의 기법은 크게 두가지로 나뉩니다. 반사(Reflected) 기법 저장(Stored) 기법 반사(Reflected) 기법 HTML 인젝션 - 반사기법은 URL에 악의적인 HTML 태그를 삽입해서 링크를 클릭한 사용자의 PC에서 HTML 태그가 실행되게 하는 공격입니다. 저장(Stored) 기법 HTML 인젝션 -저장기법은 악의적인 HTML 태그를 데이터베이스에 저장해서 저장된 태그 내용을 확인한 사용자의 PC에 HTML태그가 실행되게 하는 공격입니다. 반사기법 vs 저장기법 반사기법과 저장기법의 가장 큰 차이점은 악의적인 HTML 태그의 삽입 위치입니다. 반사기법은 URL에 태그를 삽입하고, 저장기법은 데이터베이스에 삽..

안녕하세요. 이번에 새로 Bee-Box라는 카테고리를 팠습니다! 서점을 지나가다가 비박스 환경을 활용한 웹 모의해킹 완벽 실습이라는 책을 접하고, 궁금해서 몇번 뒤적뒤적 해봤는데 책 내용이 지금의 저한테 도움이 많이 될 것 같더라구요. 그래서 바로 그 자리에서 샀습니다! 혹시나 제가 포스팅 하는 내용을 보시고 이 책이 궁금해졌다, 혹은 더욱 더 자세한 내용을 보고싶다! 하시면 아래의 링크를 타고 내려가서 구입하시면 되겠습니다. 물론 광고는 아닙니다. https://book.naver.com/bookdb/book_detail.nhn?bid=11332017 비박스 환경을 활용한 웹 모의해킹 완벽 실습 이 책은 모의해킹 업무 및 웹 애플리케이션 취약점에 대한 궁금증이 있는 입문자부터 실무자까지 볼 수 있는 책..