Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- Web
- ftz
- reversing
- network
- Webhaking
- 네트워크보안
- webhacking
- System
- 드림핵
- bee-box
- 시스템해킹
- 소프트웨어보안
- 소프트웨어
- 웹
- 알고리즘
- 모의해킹
- XSS
- TCP
- 비박스
- 워게임
- 네트워크
- 해킹
- 웹해킹
- WarGame
- 순서도
- dreamhack
- 리버싱
- hacking
- CodeEngn
- 시스템
Archives
- Today
- Total
Without a Break
[bee-box 웹 모의해킹] XML 외부 엔티티 공격 본문
XML 외부 엔티티 공격
가로챈 요청에 다음과 같은 코드로 수정해준 후 send 버튼을 누른다.
위와 같이 수정한 요청의 응답이 출력되는 것을 볼 수 있음.
이 때, 오른쪽 마우스를 클릭하고 Show response in brower를 누르면
다음과 같이 URL이 뜬다.
URL을 복사하여 웹 브라우저에 입력하면
passwd 파일 안에 있는 내용을 웹브라우저에서도 출력한다. xxe-2.php 페이지는 직접 접근이 불가능한 페이지지만, 서버의 계정 정보를 출력함
DoS 공격
위에서 했던 실습과 마찬가지로 마찬가지로 any bugs?를 눌러 버프스위트로 중간에 요청을 가로챈 후 요청에 다음 코드를 입력하고 send 버튼을 누른다.
30초가 지나면 오류 메시지가 실린 응답을 출력한다.
이는 애플리케이션 계층에서 일어나는 DoS 공격이어서 웹 서비스 제공을 방해한다.
'Web > 모의해킹 실습' 카테고리의 다른 글
| [bee-box 웹 모의해킹] 비밀번호 힌트 변경 (Change Secret) (0) | 2022.09.30 |
|---|---|
| [bee-box 웹 모의해킹] 계좌 이체 - Transfer Amount (0) | 2022.09.29 |
| [bee-box 웹 모의해킹] 비밀번호 변경 (Change Password) (0) | 2022.09.28 |
'Web/모의해킹 실습' Related Articles
more
