728x90
반응형
| String SQL Injection |
 |
| 비밀번호 아무거나 입력 후 zap에서 확인 password 옆에 1’ or 1=1 -- 라고 수정  |
| 계속 다음 누르면서 liststaff, edit profile 누르고 다시 다음단계 |
 |
| x-frame 옵션 헤더의 경우 프레임은 웹에서 보여지는 하나의 내용이라고 생각하면 됨 프레임의 옵션을 바꿔 원래 웹페이지가 아닌 다른 웹페이지를 보여주면서 작업을 유도하도록 하는 것이 x-frame 옵션 헤더 얘는 단독으로 공격해서 정보를 얻어올 수는 없고 얘를 실행해서 실행된 얘를 통해 사용자가 정보를 입력하면 얻을 수 있음 X-Frame-Options Header Not Set header가 지정되어있지 않다. 공격자가 아무 header나 지정할 수 잇다는 뜻 |
728x90
반응형
'해킹 > WebGoat 모의해킹' 카테고리의 다른 글
| OWASP WebGoat Numeric SQL Injection write-up (1) | 2023.04.17 |
|---|---|
| OWASP WebGoat Command Injection write-up (0) | 2023.04.17 |
| OWASP WebGoat XSS write-up (0) | 2023.04.17 |
| OWASP WebGoat Code Quality write-up (0) | 2023.04.17 |
| OWASP WebGoat reflected / stored write-up (0) | 2023.04.17 |