Reflected XSS는 URL의 인자를 스크립트로 변조해, 다른 웹사이트나 이메일을 통해 공격 대상자에게 보낼 때 사용하는 기법이다.
이 공격을 통해 쿠키나 세션을 가로챌 수 있다.
스크립트를 사용할 수 없도록, 입력값에 대한 검증이 필요할 것이다.
digit access code 쪽을 수정하자.
<script> alert(document.cookie); </script>
와 같이 써 넣었다.
쿠키값이 보이진 않는다.
하지만, 스크립트문이 포함된 것을 인식해서인지 Clear되었다.
'[Wargame Write-up] > WebGoat' 카테고리의 다른 글
| [WebGoat] [Injection Flaws] Numeric SQL Injection (0) | 2016.10.27 |
|---|---|
| [WebGoat] [Cross-Site Scripting (XSS)] Cross Site Request Forgery (CSRF) (0) | 2016.10.25 |
| [WebGoat] [Cross-Site Scripting (XSS)] Stored XSS Attacks (0) | 2016.10.25 |
| [WebGoat] [Cross-Site Scripting (XSS)] Phishing with XSS (1) | 2016.10.25 |
| [WebGoat] [AJAX Security] Insecure Client Storage (0) | 2016.10.24 |
