https://blog.sunggwanchoi.com/owasp-juiceshop-euro-alaboneun-owasp-top-10-0-hwangyeonggucug/
[KOR] OWASP JuiceShop 으로 알아보는 OWASP Top 10 - 0. 환경구축
OWASP & OWASP Top 10 소개 Open Web Application Security Project (OWASP) 는 2001 년도에 만들어진 국제 온라인 보안 단체다. 웹, 모바일, IoT과 관련된 보안, 툴, 문서, 방법론등을 만들며, 거의 모든 자료를 무료로
blog.sunggwanchoi.com
환경 구축 참고 자료
docker pull bkimminich/juice-shop
docker run -p 3000:3000 bkimminich/juice-shop도커를 설치하고 위의 명령어를 입력해서 juice shop 컨테이너를 생성해 실행한다.
간단한 문제들을 해결하고 DOM XSS 문제를 풀었다.
Perform a DOM XSS attack with <iframe src="javascript:alert(`xss`)">.
alert를 이용하여 DOM XSS 공격을 수행하는 문제이다.
이 문제는 튜토리얼이 있어 따라가며 처음엔 진행했다.
owasp가 이름이나 설명에 포함된 제품을 검색하라고 한다.
owasp를 검색하면 상품이 뜨고, Search Result 뒤에 입력값이 출력된다.
<h1>owasp를 입력하면 동작하는 것을 볼 수 있다.
문제에서 <iframe src="javascript:alert(`xss`)">를 이용하라고 했기 때문에 입력해 보면, xss alert 창이 뜨고 문제가 해결된다.
DOM 기반의 Cross-Site Scripting은 애플리케이션에서 발생하는 XSS 공격의 한 유형
- 공격자가 특정 페이지에서 사용자의 입력을 획득한 후, 해당 입력을 안전하지 않게 처리하여 악의적인 스크립트를 삽입하고 실행되게 만드는 것이다.
- 이러한 XSS 공격은 주로 브라우저 측의 자바스크립트와 같은 활성 콘텐츠를 통해 이루어진다.
DOM, 즉 문서 객체 모델은 브라우저가 웹 페이지의 구조를 이해하고 조작하는 방법을 정의한다.
이 모델을 통해 자바스크립트와 같은 스크립트는 웹 페이지의 요소를 동적으로 변경하고 상호 작용할 수 있다.
ex. 폼 필드 작성, 세션 쿠키를 조작
DOM 기반 XSS 취약점
- 특히 공격자가 입력을 조작하여 사용자가 입력한 데이터를 가지고 있는 활성 콘텐츠, 예를 들어 자바스크립트 함수를 변경하는 경우에 발생
- 공격자가 사용자의 입력을 통해 DOM을 수정하여 악의적인 스크립트가 삽입된다면, 해당 스크립트는 사용자의 브라우저에서 실행되어 다양한 악의적인 행동을 수행 가능
'JuiceShop' 카테고리의 다른 글
| [JuiceShop] CAPTCHA Bypass (0) | 2024.05.07 |
|---|---|
| [JuiceShop] Forged Feedback (0) | 2024.05.07 |
| [JuiceShop] Bjoern's Favorite Pet (0) | 2024.04.30 |
| [JuiceShop] Admin Registration (0) | 2024.04.29 |
| [JuiceShop] Repetitive Registration (0) | 2024.04.01 |