HTML Injection - Reflected (GET) : low

HTML Injection은 웹사이트의 취약한 부분에 HTML코드를 주입시키는 공격이다.

이 공격을 통해 피싱 사이트 연결 유도 및 악성 파일 다운로드 클릭을 유도할 수 있다.

 

(악의적인 공격자가 HTML 코드를

웹사이트의 디자인이나 어떤 정보를 바꾸기 위한 목적으로

취약한 부분에 보내면 그것이 사용자에게 보여진다.)

 

 

First name에 info, Last name에 kim을 넣었더니 위와 같이 출력되었다.

 

 

html코드를 넣으면 그에 따른 결과가 출력되는지 확인해보자

h태그를 입력했더니 입력한 결과가 제대로 출력되었다.

이제 스크립트 인젝션을 수행해보자

 

1. <script>alert(document.cookie)</script>

 

결과) 쿠키정보 확인 가능

 

 

 

2. 다른 페이지 접근 스크립트

    <script>window.open("https://www.naver.com")</script>

   

 

결과) 새창이 열리면서 지정한 사이트로 이동한다.

 

 

 

3. 이미지 태그 사용해 bwapp사이트의 이미지 출력

   <img src=http://IP/bWAPP/images/favicon.ico>

 

bwapp사이트의 이미지에 접근하기 위해 url을 알아냈고

 

img태그의 src에 넣어줘서 접근하면 된다.

 

 

결과)

 

 

---

참고한 사이트

net123.tistory.com/442?category=695510

www.softwaretestinghelp.com/html-injection-tutorial/