본문 바로가기

IT/DREAMHACK3

Dreamhack XSS 함께 실습 문제 정보 여러 기능과 입력받은 URL을 확인하는 봇이 구현된 서비스입니다. XSS 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. 플래그 형식은 DH{…} 입니다. 문제 사이트 접속 및 문제 파일 다운로드 app.py #!/usr/bin/python3 from flask import Flask, request, render_template from selenium import webdriver import urllib import os app = Flask(__name__) app.secret_key = os.urandom(32) try: FLAG = open("./flag.txt", "r").read() except: FLAG = "[**FLAG**]" de.. 2023. 7. 7.

Dreamhack XSS (Cross Site Scripting) 이론 공부 1. XSS - 클라이언트 사이드 취약점 중 하나 - 공격자가 웹 리소스를 악성 스크립트에 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행 - 해당 취약점은 SOP 보안 정책이 등장하여 서로 다른 오리진에서 정보를 읽는 행위가 힘들어짐 1.1 XSS 발생 예시 - 이용자가 삽입한 내용을 출력하는 기능에서 발생 ex) 로그인 출력 시 "안녕하세요. 00회원님" 이라는 문구 또는 게시물과 댓글 1.2 XSS 종류 1.2.1 Stored XSS - XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS 1.2.2 Reflected XSS - XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS - 이용자의 요청에 의해 발생 - 공격을 위해서 타 이용자.. 2023. 7. 7.

[드림핵] 웹해킹 워게임 Carve Party 플래그 찾기 [문제 정보] Carve Party (WEB) 할로윈 파티를 기념하기 위해 호박을 준비했습니다! 호박을 10000번 클릭하고 플래그를 획득하세요! 문제를 다운 받아서 보니 html 파일이 있었는데 이 호박을 10000번 클릭해서 플래그를 얻는 문제였다. [코드 확인] var pumpkin = [ 124, 112, 59, 73, 167, 100, 105, 75, 59, 23, 16, 181, 165, 104, 43, 49, 118, 71, 112, 169, 43, 53 ]; var counter = 0; var pie = 1; function make() { if (0 < counter && counter 2023. 5. 19.

이전 1 다음

티스토리툴바