보호된 글: [Dreamhack] simple-ssti
보호 글이라서 요약이 없습니다.
Hacking Web
[PortSwigger] DOM-based vulnerabilities (2)
Lab: DOM XSS using web messages 이번에는 web messages를 통한 취약점이다. 위의 블로그를 통해서 iframe과 postmessage를 이용해 메세지를 전달하는 방법에 대해 알아보았다.
Hacking Web
[PortSwigger] DOM-based vulnerabilities (1)
Lab: DOM XSS in document.write sink using source location.search search query tracking 기능에 취약점이 있다고 한다. 검색 받는 쿼리를 가지고 documnet.write 기능을 실행하는 것 같은데
Hacking Web
[PortSwigger] Cross-origin resource sharing (CORS)
Lab: CORS vulnerability with basic origin reflection 이번 랩에서는 웹사이트가 모든 origins을 신뢰하는 CORS 취약점을 가지고 있다고 한다. admin의 API
Hacking Web
[PortSwigger] XXE injection
Lab: Exploiting XXE using external entities to retrieve files XML에서 외부 entity를 활용하여 파일을 읽어오는 공격을 수행할 것이다. 간단한 온라인 쇼핑몰 홈페이지가
Hacking Web
[PortSwigger] Server-side request forgery (SSRF)
Lab: Basic SSRF against the local server Server-side request forgery의 첫 문제이다. 간단히 말하자면 내가 원하는 대로 server가 제 3자에게
Hacking Web
[PortSwigger] File vulnerability
파일 업로드 취약점은 웹 서버에서 사용자가 이름, 유형, 내용 또는 크기와 같은 항목을 충분히 검증하지 않고 파일 시스템에 파일을
Hacking Web
[PortSwigger] Server-side template injection (SSTI)
Basic server-side template injection server-side template injection이다. 이번 랩은 ERB 템플릿을 사용했다고 한다. morale.txt를 없애보자. 상품의 details를 보려고 했더니 재고가