WebGoat 7.0/AJAX Security

WebGoat :: LAB: DOM-Based cross-site scripting# Stage 4

STAGE 4: 가짜 login form을 만들기 위해 다음을 사용하세요: Please enter your password: Submit 풀이 어떻게 하냐구요?? 걱정하지 마세요. 우리에겐 복붙이 있잖아요. 그냥 복붙하고 Submit Solution 클릭하면 풀리네요…;;;

WebGoat :: LAB: DOM-Based cross-site scripting# Stage 3

Stage 3: 다음으로, IFRAME tag를 이용해서 JavaScript alert를 만들어 보세요. Iframe이란 내부 프레임(Inline frame)이라는 의미로 하나의 HTML 문서 내에서 다른 HTML 문서를 보여주고자 할 때 사용합니다. ( 아이프레임(iframe) Inline Frames - HTML 고급 강좌 ) 풀이 다음과 같이 입력하면 됩니다. 단, 무한 alert는 선물…

WebGoat :: LAB: DOM-Based cross-site scripting# Stage 2

STAGE 2: 이제, image tag를 이용해서 JavaScript alert를 만들어 보세요. 풀이 이런 방법도 있구나…;;; 일단 아무거나 시도… 는 땡. 오로지

WebGoat :: LAB: DOM-Based cross-site scripting# Stage 1

Stage 1: 연습으로, 당신의 미션은 다음 위치에 있는 이미지를 사용하여 이 웹사이트의 외관을 훼손하는 것 입니다. OWASP IMAGE의 주소는 . /images/logos/owasp.jpg 이며, 그 이미지는 다음과 같습니다. 풀이 Enter your name 에 아무거나 입력해보면 화면이 바뀝니다. 해당 위치의 소스를 보면 글자 그대로 적혀있는 것이 보입니다. 여기에 자바스크립트를 넣어 테스트해보겠습니다. 테스트할 스크립트는 입니다. 간단한 메시지 창을 띄우는 스크립트 입니다. 스크립트가 그대로 적히지만 실행은 안되네요. 페이지가 로딩되면서 실행 되야 하는데, 로딩이 끝난 상태에서 페이지의 내용만 변경되었기 때문에 alert() 가 실행이 안된 듯 합니다. 이번에는 태그를 이용해보겠습니다. 다음..

WebGoat :: LAB: Client Side Filtering# Stage 2

이제, 이 문제를 고쳐봅시다. 오직 Moe Stooge가 볼 수 있는 결과만을 돌려주도록 서버를 수정하세요. 풀이 어…jsp 파일의 위치를 찾았네요…ㅎㅎㅎ /WebGoat/webgoat-container/target/webgoat-container-7.0-SNAPSHOT/plugin_extracted/plugin/ClientSideFiltering/jsp/clientSideFiltering.jsp 그리고 이 디렉토리는 /WebGoat-Lessons/client-side-filtering/src/main/resources/plugin/ClientSideFiltering/jsp 와 /webgoat/WebGoat-Lessons/client-side-filtering/target/classes/plugin/Cl..

WebGoat :: LAB: Client Side Filtering# Stage 1

당신은 Goat Hills Financial의 CSO인 Moe Stooge로 로그인 됐습니다. 당신은 CEO인 Neville Bartholomew를 제외한 회사의 정보 안에 있는 모든 이에게 접근이 가능합니다. 아니면 적어도 CEO의 정보만 접근을 하면 안 됩니다. 연습으로, 당신이 찾을 수 있는 다른 정보가 무엇인지 보기 위해 페이지의 내용을 조사하십시오. 풀이 하…Stage 2 포스팅 하다가 덮어씌워서 다시 작성…하… 이 문제는 Client Side Filtering이기 때문에 Proxy는 필요가 없습니다. Client 측에서 조작을 통해 문제를 풀어야 하며, 이를 위해 각 브라우저에서 제공하는 개발자 도구를 이용하겠습니다. 저는 Kali Linux의 iceweasel(firefox) 로 문제를 풀었..