보호되어 있는 글입니다.

Stored XSS1. 악성스크립트가 서버에 저장2. 서버의 응답에 XSS가 담겨옴​드림핵 툴즈를 이용해서 이용자의 접속 기록을 저장하는 랜덤 URL을 생성한다./flag의 입력창에 URL과 document.cookie를 입력한 후, 접속 기록을 확인해본다.flag가 나타나는 것을 알 수 있다.#2. /memo에 임의 이용자의 쿠키 정보를 확인하기@app.route("/memo")def memo():    global memo_text    text = request.args.get("memo", "")    memo_text += text + "\n"    return render_template("memo.html", memo=memo_text)/vuln에서 발생하는 xss 취약점을 통해 쿠키를 탈취..

🍪쿠키 웹 서버에서 클라이언트를 기억하기 위한 단위.클라이언트는 서버에 요청을 보낼 때마다 쿠키를 포함하고, 서버는 해당 쿠키를 통해 클라이언트를 식별함.(Key, Value로 이루어짐) HTTP 프로토콜에서는 Connectionless, Stateless의 특징을 가지고 있는데,쿠키는 이 특성을 가진 HTTP의 상태를 유지하게 해줌 (기억) Connectionless하나의 요청에 하나의 응답 후 연결 종료( 연속적 X. 매번 끊어져 다시 새로운 연결)Stateless통신이 끝난 후 상태 정보를 저장하지 않는 것. 서버에서 쿠키를 설정하는 방법HTTP 응답 중 헤더에 쿠키 설정 헤더(Set-Cookie)를 추가한다.from flask import Flask, make_responseapp = Flask..

개발자 도구 (Devtools)Chrome 브라우저 내부에 있는 개발자 도구를 탐색해볼 것이다.개발자 도구는 디버깅을 빠르게 하고 웹 내부를 확인해보기에 용이하다. html, 개발자 도구를 숙지한다는 것은 웹 해킹의 기초이다. ( 글을 작성할 당시 포켓로그라는 웹 게임에 빠져있었는데, 웹 기반임에도 사이트가 상당히 잘 돌아가서 신기했다. 당시에 개발자 도구로 웹 소스코드 내부를 한번 확인해보고 싶어서 해당 사이트를 예시로 개발자 도구 글을 작성했다..ㅎ ) 그 밖에도 개발자 도구로 확인할 수 있는 부분은 다음과 같은 것들이 있다.HTML, CSS코드를 브라우저에서 수정 가능함HTTP 패킷 자세한 확인 가능JavaScript 코드에서는 디버거도 함께 제공됨개발자 도구 실행하기처음 Chrome을 실행하고 원..

Web 이란? HTTP를 이용해 정보를 공유하는 서비스웹 클라이언트와 서비의 통신을 통해 웹 서비스에 통신할 수 있음. 수립 과정1. 요청] 클라이언트 (웹 서버에 접속, 이용자의 요청 해석, HTTP-> 서버에 리소스 요청) ->2. 응답] 서버 (HTTP 요청 해석, 내부적인 연산 처리, HTTP -> 이용자에게 전달) ->3. 클라이언트 ( 응답받은 HTML, CSS, JS를 시각화 함 ) 프로토콜 (Protocol)규격화된 일련의 규칙. with Syntax.( 프로토콜의 종류 : HTTP, TCP/IP, FTP ... ) Web Browser.UX를 제공하는 소프트웨어 중 일종 .서버와 HTTP 통신을 대신하며, 수신한 리소스를 시각화한다. Web Rendering.서버로부터 받은 리소스를 이용..