Attack Technique
-
-
BOM XSSAttack Technique 2024. 6. 21. 14:42
Byte Order Mark바이트 순서 표시(Byte Order Mark, BOM)는 유니코드 문자 U+FEFF로, 매직넘버로서 문서의 가장 앞에 추가하여 텍스트를 읽는 프로그램에 여러 정보를 전달할 수 있다.16비트 혹은 32비트 인코딩의 경우, 문서의 바이트 순서 또는 엔디언문서의 인코딩이 거의 확실히 유니코드임문서에 사용한 유니코드 문자 인코딩 방식인코딩에 따른 바이트 순서 표식문제화이트햇스쿨 2기 프로젝트 과제로 부여받음풀이 과정url 파라미터로 x를 받아 echo[ -~]{2} 를 필터링. 즉, 아스키코드표에서 출력 가능한 범위 중 2개가 연속으로 오면 필터링 됨 input : x=ab%FE%FF%00%3C%00s%00c%00r%00i%00p%00t%00%3E%00a%00l%00e%00r%00t..
-
Prototype Pollution XSSAttack Technique 2024. 6. 21. 14:21
JavaScriptPrototype을 기반으로 한 언어Prototype Pollution말 그대로 프로토타입을 오염시켜 XSS를 발생Sourcefunction Ultra(this.test = "testing"){}Ultra.prototype.hello = "world"function Super(){}Super.prototype = new Ultra()function Sub(){}Sub.prototype = new Super()var o = new Sub()해당 코드는 다음과 같은 구조를 가진다문제 제작Prototype_pollution.jsconst express = require('express')const app = express()const port = 1234const cors = require(..