오늘은 HTML Injection기법중에서 POST방식에 대해 배워보자.
↓Low level
값을 입력했을 때 GET방식과 다른 점이 없어보인다.
그렇다면 URL창을 확인해보자.
여기서 우리는 GET방식과 차이점이 존재한다는 것을 확인할 수 있다.
바로 URL상에서 매개변수가 보이지 않는다는 것이다.
따라서 우리는 버프슈트를 이용해 매개변수를 확인해야 한다.
버프슈트를 통해 매개변수를 확인해보자.
우리가 방금 적은 입력값들을 확인할 수 있다.
여기서 우리가 매개변수를 바꾸면 어떤 결과가 나오는지 확인해보자.
매개변수의 값을 바꿔서 전달한 결과 바뀐 매개변수의 값이 출력되는 것을 확인할 수 있다.
↓Medium level
태그가 실행되지 않는다.
태그가 실행되지 않는 이유가 GET방식과 동일하다.
버프슈트를 사용해 GET방식의 난이도 중과 똑같이 이중인코딩을 이용하여 우회해 보자.
↓High level
난이도 중에서 우회한 대로 그래로 우회해 봤지만 우회되지 않는다.
코드를 살펴보자.
GET방식의 high level과 마찬가지로 htmlspecialchars() 함수가 사용되어 우회가 불가능하다.
GET방식에서 설명했던 내용 중심이라 자세히 설명하지는 않았다.
좀 더 자세한 설명을 원한다면 전 포스팅을 살펴보자.
반응형
'bWAPP' 카테고리의 다른 글
| [비박스] PHP Code Injection (0) | 2020.04.17 |
|---|---|
| [비박스] OS Command Injection (0) | 2020.04.14 |
| [비박스] iFrame Injection (0) | 2020.04.13 |
| [비박스] HTML Injection - Stored (Blog) (0) | 2020.04.05 |
| [비박스] HTML Injection - Reflected (GET) (0) | 2020.04.01 |
