일단 xss를 넣어볼수 있는 곳에 최대한 넣어보기로 했다.
1) 가입안내
: 애초에 html 태그를 사용할수 없다고 명시되어 있다. 다 걸러버리는 듯 하다
실제로도 다른 아이디로 접속해보니 전부 그대로 보여진다.
2) 제목: 여기서 필터링도 해보고, 인코딩도 해봤는데 여기서도 잘 안됐다.
3) 닉네임
: 애초에 특수문자를 넣을수가 없었다.
4) 채팅
: 좀 색다른 것도 넣어봤는데 역시나 실패.
5) 등급 변경후 이유 작성란
뭔가 취약하게 생겨서 해보았지만... 왜 변경이유를 적는지 모르겠다.
카페 멤버 등급이 바뀐후에 이유가 보여지는줄 알았지만 아니었다.
6) 카페 이름
: 될리는 없는데...뭔가 웃겼다.
7) 댓글 : 당연 필터링이 되어있다. 게시물 작성은 건드리지도 않음..ㅋㅋ
8) URL: 철저하게 파라미터를 감춰놨다.
:역시 네이버는 쉽지 않다는 것만 잘 알고 간다... xss는 너무 보편적이라 잘 막아져있는것 같다. 다른 라이트업들을 분석해보고 새로운 방법을 찾아야될것 같다.
'WEBHACKING > web' 카테고리의 다른 글
| Bugbounty) 사례 분석 XSS-2) (0) | 2020.02.08 |
|---|---|
| Bugbounty) 사례분석 XSS -1) (0) | 2020.02.07 |
| [정리/발번역] 버그 바운티 방법론에 대해서 (0) | 2020.02.05 |
| [Mini-CTF] 취약점 찾기 (0) | 2020.01.30 |
| 1. XSS 공격 기법 : Cross-site Scripting (0) | 2019.12.30 |