본문 바로가기

$ecu_Log

Notice

Recent Posts

Calendar

Tags

더보기

Archives

Visits

Total

Today

Yesterday

web

SSTI 2025. 4. 29. SSTI(Server-Side Template Injection) 취약점 정리SSTI(Server-Side Template Injection)는 웹 애플리케이션의 서버 측 템플릿 렌더링 엔진에서 발생하는 취약점으로, 사용자가 입력한 데이터가 템플릿 엔진 내에서 코드로 실행될 수 있는 상황에서 발생합니다. 이 취약점은 공격자가 악의적인 템플릿 코드를 삽입하여 서버 측에서 원하지 않는 명령을 실행하거나 민감한 정보를 노출시키는 등 심각한 보안 문제를 초래할 수 있습니다SSTI 발생 원인SSTI는 사용자의 입력값이 템플릿 엔진에 그대로 전달될 때 발생합니다. 템플릿 엔진이 입력값을 코드로 처리하는 특성 때문에, 입력값에 악의적인 템플릿 코드가 포함되면 서버에서 이를 실행하게 되어 보안 취약점이 생깁니다공격 방..

웹 해킹 실습 2025. 1. 8. 로그인 폼이 있는 것을 확인할 수 있었습다 당연히 로그인 폼이 나와있으니 아무 값이나 넣어서 진행을 해봤습니다당연히? 틀렸다고 나옵니다 요청을 하게 되면이런식으로 응답을 하는 것을 확인할 수 있었습니다 JS코드를 봅시다코드 해석사용자가 입력한 id와 pw 값이 동일한지 확인하는데 만약 같다면, 경고창이 뜨고 id와 pw 입력란을 비우며 다시 입력하도록 유도합니다. 값이 다른 경우에는 폼이 제출되도록 구성되었습니다 ↓ ↓상세 설명 ↓ ↓ 더보기 var id = document.web02.id.value;와 var pw = document.web02.pw.value;는 웹 폼의 id와 pw 필드 값을 변수에 저장 if ( id == pw ) 조건문은 id와 pw가 동일한지를 확인 동일할 경우 경고창이 뜨..

이전 1 다음

티스토리툴바