Kilkat

h1 프로그램 참여하면서 자주 사용했던 벡터 및 특이했던 벡터 1. URL Param 첫번째는 역시 URL Prameter이다. 특히 파라미터 값중에 어느 다른 사이트로 redirect하거나 WAF error를 발생시키는 페이지여도 XSS 공격을 시도해볼 수 있다. redirect하는 Parameter의 경우 기본 구문으로 테스트를 많이 하는데 입력값에 대한 검증이 없는 사이트의 경우 쉽게 XSS 공격이 가능하다. 그러나 WAF 혹은 입력값 검증이 이루어지는 사이트의 경우 HTTP error status를 발생시키며 error page로 redirect 하는 경우가 대다수다 그러나 이 부분에서도 XSS 공격이 가능할 수 있다. 물론 WAF를 bypass하는 방법도 좋은 시도이지만 만약 error page..