[Web Hacking] Bee - Box -Cross-Site-Scripting (Reflected)

 

 

반사된 XSS(Cross Site Scripting) 이란 웹 페이지 URL에 존재하는 파라미터에 악의적인 스크립

트 코드를 입력하여 사용자가 URL을 클릭하면 파리미터에 입력한 악성 스크립트가 실행되

게 하는 공격이다. 스크립트 코드가 포함된 URL을 메일로 전송하거나 게시물로 등록하여 사

용자가 클릭하도록 유도한다.

​

Refleted Cross Site Scripting 공격 (난이도 하) –GET-

 

 

‘xss_get.php’ 페이지다 위의 페이지는 First name 과 Last name에 각 각 문자열을 입력하면 내

용을 출력해주는 페이지이다 게시판에 저장되는 형식이 아닌 결과값이 일시적으로 출력만

된다.

​

 

 

위와 같이 Refleted XSS 테스트를 위해 First name 변수에 스크립트 구문을 삽입한다.

 

 

스크립트 구문을 삽입하고 Enter 를 하자 스크립트가 정상적으로 실행되고 있는 모습이다.

​

Refleted Cross Site Scripting 공격 (난이도 중) –GET-

 

 

난이도 중 에서는 <SCRIPT> 구문을 삽입하여도 스크립트가 실행되지 않는다 htmlentities 함

수로 사용자의 입력값을 필터링 하고 있기 때문이다. htmlentities 함수는 htmlspectiolchars 와

조금 차이가 있다. htmlspectiolchars 함수는 < , > , & 의 특수문자를 HTML entitie 로 변환하는

반면 htmlentities 함수는 모든 문자열을 HTML entite로 변환한다. 따라서 사용자가 입력한 모

든값이 HTML 인코딩이 된다.

​