xss_login.php해당 페이지는 로그인을 하는 페이지이다.난이도 '하'이미 SQL Injetcion에서 다루었던 페이지이다." ' " 작은따옴표를 입력하여 Injection 이 가능한지 여부를 파악해보았다.문법이 맞지 않아 오류메시지가 뜨는것을 확인할 수 있다.Mysql DBMS인것을 확인할 수 있고, " " AND password=" " at line1 구조 인듯하다.Burp Suite을 통해 HTTP 요청을 가로채보았다.POST 방식으로 HTTP 요청을 하고있다.그리고 login, password, form의 변수가 존재하는 것을 알 수 있다.항상 참의 결과를 가지고오는 구문을 삽입하면 될 듯하다.' or 1=1#이를 응용해 경고창을 출력..........
원문링크 : XSS - Reflected(Login Form)
네이버 블로그
티스토리
커뮤니티