URL인코딩, ASCII 인코딩

침투 테스트 입장에서 URL 인코딩은 XSS, SQL INJECTION 등 의 공격을 우회 할 때 주로 사용된다.

보통 hackbar 와 같은 url 인코딩 / 디코딩을 하면 제대로 url 만 인코딩 된다

• <h1>This is a test</h1> -> %3Ch1%3EThis%20is%20a%20test%3C%2fh1%3E

그런데 영문 즉, 아스키 또한 인코딩 할 필요가 분명히 있을 텐데, 이럴 경우, 버프스위트 Decoder 기능을 이용하면 URL + ASCII 한번에 인코딩 된다.

• %3c%68%31%3e%54%68%69%73%20%69%73%20%61%20%74%65%73%74%3c%2f%68%31%3e

확인이 필요한 사항 : 아래와 같은 인코딩 문은 html 디코더로 풀리는데, 왜 html 인코더로 평문을 다시 인코딩하면 아래와 같은 인코딩 문이 구현이 안되는가?

• &#60;&#104;&#49;&#32;&#115;&#116;&#121;&#108;&#101;&#61;&#34;&#99;&#111;&#108;&#111;&#114;&#58;&#98;&#108;&#117;&#101;&#59;&#34;&#62;&#72;&#84;&#77;&#76;&#32;&#105;&#110;&#106;&#101;&#99;&#116;&#105;&#111;&#110;&#60;&#47;&#104;&#49;&#62;