본문 바로가기
빡공팟(P4C)

웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #XSS(DOM)

by qoth_0 2022. 10. 23.
728x90
반응형

Vulnerability: DOM Based Cross Site Scripting (XSS)

 

기존의 http://localhost/DVWA-master/vulnerabilities/xss_d/ 에서 Select 버튼을 누르면

http://localhost/DVWA-master/vulnerabilities/xss_d/?default=English 로 url이 바뀌게 된다.

 

default= 다음부분에 <script>alert(document.cookie)</script>를 입력하면 스크립트를 실행시켜 사용자의 쿠키를 확인할 수 있다.

DOM XSS는 서버에는 스크립트가 전달되지 않으나, 브라우저에서 스크립트가 동작하게 되는 공격이다.

 

 #을 사용하면 # 뒤에 오는 문장이 브라우저에서 쿼리의 일부로 처리되지 않고 조각으로 처리되게 하여, 스크립트는 작동하지만 서버에는 그 값이 전달되지 않게 할 수 있다.

 

http://localhost/DVWA-master/vulnerabilities/xss_d/?default=#<script>alert(document.cookie)</script>으로 실행해보면

같은 경고 창이 뜨지만 서버에는 스크립트가 전달되지 않은 것을 확인할 수 있다.

 

 

728x90
반응형

'빡공팟(P4C)' 카테고리의 다른 글

웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #XSS(Stored)  (0) 2022.10.23
웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #XSS(Reflected)  (0) 2022.10.23
웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #Weak Session IDs  (0) 2022.10.23
웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #SQL Injection(Blind)  (0) 2022.10.23
웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #SQL Injection  (0) 2022.10.23

관련글

티스토리툴바