LOW 난이도와 화면은 동일하다. First name과 Last name을 입력하면 Welcome과 함께 출력된다.
이번엔 LOW에서 사용했던 HTML 문구를 입력해서 LOW레벨과 동일하게 출력되는지 확인했다.
하지만 이번에는 LOW와 결과가 다르다. HTML 문을 입력했지만 일반 텍스트로 인식되었다. HTML문을 인식되게 하기 위해서 사용한 특수문자를 하나씩 url 인코딩해봤다. <는 %3c, >는 %3e, /는 %2f로 인코딩했다. 그래서 First name엔 %3ch1%3eSuccess%3c%2fh1%3e를, Last name에는 %3cimg src="http:%2f%2f192.168.10.144%2fbWAPP%2fimages%2fcc.png%e3%3c%2fimg%3e를 입력했다.
요청 결과 Success문구와 트위터를 포함한 여러가지 sns 아이콘이 출력됬다.
'Web Hacking > bWAPP' 카테고리의 다른 글
| [LOW] SQL Injection (POST/Search) (0) | 2017.10.29 |
|---|---|
| [LOW] SQL Injection (GET/Select) (0) | 2017.10.29 |
| [LOW] SQL Injection (GET/Search) (0) | 2017.09.29 |
| [LOW] HTML Injection - Reflected (GET) (0) | 2017.09.29 |
| beebox 설치하기 (0) | 2017.09.29 |
꼴통보안인