정보보안(구버전)/ bWAPP 2019. 2. 25. 16:09

웹 해킹 bWAPP - 112. A9 - Using Known Vulnerable Components - SQLiteManager XSS

 

 

본 내용은 교육 과정에서 필요한 실습 목적으로 구성된 것이며, 혹시라도 개인적인 용도 및 악의적인 목적으로 사용할 경우, 법적 책임은 본인에게 있다는 것을 알려드립니다. 

 

 

1. Using Known Vulnerable Components

 

 - OWASP Top10 A9 - 알려진 취약점이 있는 구성 요소 사용

 - 슈퍼유저 권한으로 운영되는 취약한 라이브러리/프레임워크, 기타 SW 모듈로 인한 데이터 유실 및 서버 권한 획득이

   가능한 취약점이다.

 

 

 

2. SQLiteManager XSS

 

 - SQLiteManger에 파일 업로드 또는 스크립트를 인젝션하여 악의적인 프로그램 실행 및 정보를 획득하는 취약점이다.

 - CVE-2010-4480 참조 사이트 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5105

 

 

 

 

3. Using Known Vulnerable Components - SQLiteManager XSS

 

 - 이 시나리오는 SQLite 관리자 페이지 'main.php', 'index.php' 취약점을 이용하여 XSS를 실행하는 내용이다.

 

 

  

Ex1) Using Known Vulnerable Components - SQLiteManager XSS 이해

 

 

보안 레벨 선택 및 시나리오 선택

 

 

CVE-2012-5105 취약점 힌트 내용 출력

 

 

 

112-0. SQLiteManger 접속 주소.txt

 SQLiteManger 접속 실시(http://192.168.20.205/sqlite)

 

 

 

'Test' 클릭

 

 

 

'Trigger' 클릭

 

 

 

112-1. 스크립트 인젝션 추가-1.txt

스크립트 인젝션 실시

 

 

 

쿠키 정보 획득 확인

 

 

 

112-2. 스크립트 인젝션 추가-2.txt

스크립트 인젝션 실시

 

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

 

웹해킹 112. A9 - bWAPP Using Known Vulnerable Components - SQLiteManager XSS


https://youtu.be/sBpl9gMIDnQ



Posted by 김정우 강사(카카오톡 : kim10322)
,


Q