owasp 실습(WackoPicko)
WackoPicko 들어가기
burp suite 잡기
로그인하고()
tak.php 파일 업로드한뒤 burp suite 잡기
image/png로 변경
여길보면 upload 라는곳에 된다는것을알수있다 들어가보자
------------------------------------------
------------------------------------
이런식으로 팝업 창이뜬다.
---------------------------------------------------------------
--------------------
댓글스크립트삽입
악성 script 삽입 .
<img src=# onerror=alert('aa')>
이런식으로 공격가능
netxt
---------------------------------
-------------------------------------
공격 성공.
----------------------------------------------------------------------------
-------------------------------------------------------------------------------------
sql map
이것이 되면 sql 이 먹힌다는의미
하지만 post 방식
바탕화면에저장
python sqlmap.py -r 파일이름 --batch
같은 파일에 넣은뒤에
sqlmap
-r 123 이런식으로
명령어주고
계속찾아보기.