Web Goat를 통한 XSS 실습

• Web Goat

OWASP에서 웹 취약점 공격 실습을 위해 배포하는 웹 서버 환경 프로그램

Google Code Archive - Long-term storage for Google Code Project Hosting.

Google Code Archive - Long-term storage for Google Code Project Hosting.

파일 다운 받은 후 실행한 화면은 다음과 같다

 

• XSS 실습 - stored XSS

Stored XSS란 웹 취약점이 존재하는 웹 사이트에 악성 스크립트를 영구적으로 저장하는 방법으로 지속적 기법

실습창에 삽입할 악성 스크립트를 입력했다

내가 입력한 스크립트는 현재 웹 사이트의 cookie를 alert 창으로 표시하는 문장이다.

 

정보가 추출되지 않는다ㅏ...

 

개발자 도구 들어가서 HttpOnly 옵션 체크 해제하면 뜬다는데..

체크 표시해제해도 안되네..

 

HttpOnly란 자바스크립트로 쿠키 조회하는 것을 막는 옵션으로 XSS 공격을 차단하는 역할을 한다

 

좀 찾아보니 바로 적용이 안될 수도 있다고 하네요 다음번에 다시 시도해보고 글 수정하겠습니다.

 

---

• 참고 블로그

웹 취약점 실습 (1) - XSS

웹 취약점 실습 (1) - XSS