웹해킹 노트

사용자의 입력값을 검증하지 않고 변수에 넣는 경우입력값위 코드에서 username에 user1","isAdmin":"Yes"를 입력한다면 선행 입력된 isAdmin 값은 추후 사용자의 입력에 따라 Yes로 변경된다.

X-Forwarded-For 헤더는 HTTP에서 클라이언트의 원 IP주소를 식별하는 헤더로 웹페이지 접속 시 클라이언트의 접속 IP를 가져올 수 있다.우회하기 위해서 Burp Suite 프로그램이 필요하다.Intercept를 활성화 시켜 브라우저에서 접속하는 주소를 거

Server-Side Request Forgery - 서버측 요청 위조워게임 문제 중 서버측에서 요청을 위조해서 로컬의 파일을 읽어드리는 문제flag가 /flag.txt에 위치해 있을때 로컬 코드 중 fetch를 사용하거나 요청을 보낼 수 있는 함수를 사용한다면 아래와