오랜만에 제가 진짜 진짜 하고 싶었던..ㅠㅠㅠ Bee-box를 다시 시작하네요.. 그동안 SQL인젝션, 파일업로드 등 실습은 해보았지만 처음 하는 마음으로 다시 차근차근 올리도록 하겠습니다! HTML injection-Reflected(Post)방식에 이어서, 오늘은 Reflected기법 중 Stored(Blog)방법을 실습해볼게요 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. 난이도 하 'htmli_stored.php' 페이지는 블로그 형식이기 때문에 HTML 태그를 저장하여, 관리자가 의도하지 않은 내용을 출력하게 하는 공격이 가능합니다. 또한 블로그에 실린 텍스트 필드에 내용을 입..

HTML injection-Reflected(Get)방식에 이어서, 오늘은 Reflected기법 중 POST방법을 실습해볼게요 실습하는 모든 공격은 실제로 사용하시면 안됩니다. 허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며, 모든 법적 책임은 사용자에게 있는 것을 명심해주세요. 먼저 사이트에서 HTML injection - Reflected(POST) 항목을 선택해 주세요. 난이도는 low로 지정해줍니다. 난이도 하 POST 페이지로 들어왔습니다. 저번에 실습한 GET방식은 GET메서드로 HTTP 요청을 하였다면, POST방식은 POST메소드를 사용하여 데이터를 전송하기 때문에 서버로 전송하는 변수 값이 URL에 노출되지 않습니다. 그렇기 때문에 이번 실습은 버프스위트(Burp Suite)..

오늘부터 bee-box책을 공부하기 시작해서 beebox를 꾸준히 실습해가면서 올려볼꺼예요. 그중 첫번째로 먼저 beebox가 무엇인지 알아보고 실습을 위한 기본 환경을 설정해준 후, HTMl 인젝션에 대해 알아볼께요. 비박스란 비박스(bee-box)는 웹 취약점을 공격할 수 있는 오픈소스 웹 애플리케이션인 bWAPP(buggy Web Application)이 설치된 가상환경으로, 웹 취약점 공격을 공부하기 위해 만들어졌습니다. 100여 개가 넘는 웹 취약점이 존재하며, 취약점은 OWASP TOP 10을 기준으로 분류되었습니다. 비박스는 다양한 취약점을 연구하고 실습해 볼 수 있으며, 난이도는 상(High) 중(Medium) 하(Low)로 나뉩니다. 비박스를 사용할 때 방법 1. 웹 애플리케이션인 bWA..