| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
- 국가정보원
- 경기팀
- 화학물질
- 12기
- 국가기록원
- 프로젝트
- 화학물질안전원
- MITRE ATT&CK
- 국정원
- 불법유통
- Service
- 대외활동
- codeup
- 불법유통근절
- 도구모음
- 파이썬
- UKPT
- nurisec
- 여행
- 연구모임
- PHP
- 정보보안
- 웹 해킹 입문
- 기타정보
- UKPT level
- 화학물질불법유통온라인감시단
- webhacking
- suninatas
- Los
- HTML
- Today
- Total
목록취약점 (2)
agencies
(중요) [프로젝트] 홈페이지 구축 - 파일 업로드 취약점
https://agencies.tistory.com/109 [프로젝트] 홈페이지 구축 (메인 배경화면) v0.4 소스코드 소식ㆍ정보 공지사항 팀 블로그 주요활동 자원봉사 서포터즈 정보보안 팀 소개 팀 리더 인사말 슬로건 직무 이미지 선택 Upload 이미지 파일을 업로드하면, 최근 업로드 된 이미지를 찾 agencies.tistory.com 지난 시간에는 사용자가 홈페이지의 이미지를 변경할 수 있는 코드를 작성하였습니다. 하지만 windows 운영체제를 사용하는 환경 취약점을 통해 파일 업로드 취약점이 발견되었습니다. 리눅스 운영체제에서 test.php:.png 파일을 업로드 하면 성공적으로 업로드가 가능합니다. * 윈도우 환경에서는 파일 업로드 시 파일명에 콜론(:)을 붙일 경우 그 뒤에 문자열은 삭제..
써니나타스 MyPage (xss)취약점
"; autofocus onfocus="document.write('https://koragent.tistory.com')"> 를 입력합니다. ▲ 써니나타스 홈페이지 (2023-07-28) 1. 닉네임 중복 얻기 blackkey를 입력할 경우 사용중인 아이디라고 출력됩니다. - 폭없는 공백을 입력하여 blackkey 아이디를 얻을 수 있습니다. (▼ 폭 없는 공백 복사하기) ▲ 회원가입에 성공한 메시지 2. XSS (MyPage) 정보를 수정하기 위해 profile image를 아무거나 선택한 후 저장합니다. Answer 부분에 다음과 같이 입력합니다. "; onmouseover=alert(1)> XSS가 발생하는 것을 확인할 수 있습니다. - Answer - Job - E-mail 에서 XSS가 발..