bWAPP - 4. HTML Injection - Stored (Blog)

                                       4. HTML Injection - Stored (Blog)

 

- Low 레벨 -

 

 

Html injection이 잘 주입되는지 확인한다. 

 

 

- Low 결과 및 입력 값 1 -

<h1> qfqfqf </h1>

 

 

 

 

- Low 결과 및 입력 값 2 -

<input type="text">

 

Input 태그도 저장이 가능한지 확인했고, html injection stored에 성공 하였다.

 

 

 

- Medium 및 High 레벨 -

 

vi htmli_stored.php

case0의 해당 함수인 sqli_check_3 함수가 정의되는 곳에 가 어떤 필터링이 존재하는지 확인한다.

 

또한 난이도 Medium과 High는 다음과 같이 entry에 들어가는 내용을 필터링을 진행하고있다.

 

xss_check_3가 무슨일을 하는지 찾아가봅시다.

 

 

vi functions_external.php

 

 

 

xss_check_3에 도착하여 확인했을 떄,

결론을 얻을 수 있었다.

 

 

 

- Medium 레벨과 High 레벨의 결과-

 

htmlspecialchars 함수를 사용하여  html injection에 대해 방지하고있다.

 

htmlspecialchars 함수란

-  이 함수는 문자열에서 특정한 특수 문자를 HTML 엔티티로 변환한다. 이함수를 사용하면 악성 사용자로 부터 XSS 공격을 방지