실습1) Stored XSS 공격 연습하기
WebGoat를 실행하여 [Stored XSS Attacks] 메뉴로 들어갑니다. Title과 Message에 글을 작성하고 submit 버튼을 누릅니다. 그러면 Message List에 Title에 적은 단어로 된 게시물 하나가 뜨는데 이를 클릭하면 Message에 적었던 글이 알림창으로 뜨게 됩니다.
실습2) Reflected XSS 공격 연습하기
WebGoat에서 [Reflected XSS Attacks] 메뉴로 들어갑니다. 공격자는 Enter your three digit access code에 들어가는 값을 수정할 수 있습니다.
//해당 페이지 소스를 통해 확인
(--생략--)
<td> Enter your three digit access code:</td>
<td>
<input name="field1" type="TEXT" value="111">...
</td>
(--생략--)
해당 칸에 111'><script>window.open('http://www.naver.com')</script><font size='4 를 입력합니다. 그 후 purchase를 누르면 네이버로 이동하게 됩니다.
실습3) CSRF 공격 연습하기
WebGoat에서 [Cross Site Request Forgery(CSRF)] 메뉴로 들어갑니다. 해당 문제는 뉴스그룹에 악의적 요청이 담긴 이미지 URL을 메일로 보내는 것입니다. 왼쪽 사진과 같이 내용을 작성하고 submit 버튼을 누르면 게시물 하나가 올라온 걸 볼 수 있습니다. 이미지 화면을 새 창을 열어 확인하면 내용을 확인할 수 있습니다.
'웹 해킹' 카테고리의 다른 글
| Ch 07 웹 해커의 도구(+실습) (0) | 2023.02.15 |
|---|---|
| Ch 06 소스코드 취약점 분석(+실습) (0) | 2023.02.08 |
| Ch 05 XSS 공격 (0) | 2023.02.01 |
| Ch 04 SQL 인젝션 공격(실습) (0) | 2023.01.25 |
| Ch 04 SQL 인젝션 공격 (0) | 2023.01.25 |