Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- 프로젝트
- 정보보안
- Los
- 불법유통
- 기타정보
- UKPT level
- MITRE ATT&CK
- nurisec
- 경기팀
- 12기
- 화학물질불법유통온라인감시단
- 여행
- 대외활동
- codeup
- 국가정보원
- 도구모음
- Service
- suninatas
- PHP
- 화학물질안전원
- 국정원
- 국가기록원
- 파이썬
- 연구모임
- 화학물질
- 불법유통근절
- 웹 해킹 입문
- webhacking
- HTML
- UKPT
Archives
- Today
- Total
agencies
써니나타스 MyPage (xss)취약점 본문
"; autofocus onfocus="document.write('https://koragent.tistory.com')">를 입력합니다.
▲ 써니나타스 홈페이지 (2023-07-28)
1. 닉네임 중복 얻기
blackkey를 입력할 경우 사용중인 아이디라고 출력됩니다.
- 폭없는 공백을 입력하여 blackkey 아이디를 얻을 수 있습니다. (▼ 폭 없는 공백 복사하기)
▲ 회원가입에 성공한 메시지
2. XSS (MyPage)
정보를 수정하기 위해 profile image를 아무거나 선택한 후 저장합니다.
Answer 부분에 다음과 같이 입력합니다.
"; onmouseover=alert(1)>
XSS가 발생하는 것을 확인할 수 있습니다.
- Answer
- Job
- E-mail
에서 XSS가 발현됩니다.
* 마우스가 폼 위에 over시 alert이 발생합니다.
따라서 MyPage에 들어가자마자 XSS 구문을 실행하기 위해 다음과 같이 입력합니다.
"; onfocus="alert(1)" autofocus>
이제 ukpt.tistory.com으로 리다이렉트 시키는 구문을 입력하겠습니다.
"; onfocus="document.write('Hello world');alert('ukpt');location.href='https://ukpt.tistory.com'" autofocus>
ukpt 라는 alert이 발생합니다.
Hello world가 출력되고, ukpt 티스토리 블로그로 이동됩니다.
※ 본 취약점에 대해 blackkey 관리자한테 제보한 현황입니다.
이것을 악용하여 발생한 모든 문제에 대하여, KIS은 책임지지 않습니다.
'Ⅲ. 정보보안' 카테고리의 다른 글
| 해킹 보안 맛보기 (0) | 2024.02.25 |
|---|---|
| 홈페이지 드롭다운 네비게이션 (0) | 2024.02.15 |
| 파이썬 해킹 입문 (0) | 2024.02.15 |
| PHP 기초 게시판 만들기 (0) | 2024.02.12 |
| PHP와 mysql 연동하기 (1) | 2024.02.12 |
'Ⅲ. 정보보안' Related Articles
more
