web hacking (1) 썸네일형 리스트형 웹 해킹 1주차 - bWAPP HTML Injection - (GET) 1. 난이도 low 직접 HTML 코드를 입력하여 HTML Injection이 가능한지 확인해보았다. 그 결과 내가 입력한 HTML 태그가 실행되어 원하는 출력을 얻을 수 있었다. 2. 난이도 medium medium 난이도에서는 HTML 코드를 입력하여도 원하는 출력값이 나오지 않고 코드가 그대로 출력되었다. 그래서 low일 때와 medium일 때의 페이지 소스를 비교해보았는데, medium에서는 내가 입력했던 코드가 그대로 주입되지 않고 특수문자 부분이 변형된 것을 알 수 있었다. 이때 url 인코딩을 사용하여 특수문자를 입력하면 이러한 변형을 우회할 수 있다고 한다. 는 %3E로 변환된다고 하여 first name에 %3Ch1%3Esuccess%3C/h1%3E를, last name에 %3Cimg s.. 이전 1 다음
