GET 방식과 POST 방식의 차이는 전자는 헤더에 정보를 넘겨주고 후자는 body에 정보를 넘겨준다. 확실히 비교하는 방법은 버프수트라는 툴을 이용하면 된다. 버프수트는 프록시서버 사용시 서버와 클라이언트간의 주고받는 패킷을 가로챌 수 있다. 실습을 위해 프록시 설정을 해보자. 환경은 칼리리눅스로 진행했다.
칼리리눅스 웹 브라우저 설정에 들어가면 프록시 관련 설정이 있다. 설정 검색칸이 있으니 porxy를 검색하면 바로 나온다. 다음은 버프수트 툴을 켜보자.
Proxy-Options 으로 가서 requests, responses의 intercept….based..를 체크한다.
Proxy-Intercept로 들어가서 Intercept is on을 확인한다. on 상태에서는 페이지 접속할때 주고받는 패킷을 가로챌 수 있다. 이제 테스트를 해보자.
값을 넘겨주면 버프수트에 패킷이 잡힌다. GET방식도 똑같이 버프수트를 사용해 비교해보면 알겠지만 POST방식에서는 위 사진과 같이 url로 넘겨주지않고 body부분으로 넘겨주는 것으로 확인된다.
GET방식과 인젝션 방법, 대응 방법이 같기때문에 따로 진행하진 않았다.
'공부 > bWAPP' 카테고리의 다른 글
| OS Command Injection (0) | 2020.02.19 |
|---|---|
| iFrame Injection (0) | 2020.02.19 |
| HTML Injection – Stored(Blog) (0) | 2020.02.19 |
| HTML Injection – Reflected(URL) (0) | 2020.02.19 |
| HTML Injection – Reflected(GET) (0) | 2020.02.19 |