CVE-2010-4480 해당 페이지를 가면 HINT : CVE-2010-4480 로 굵은 글씨체 처럼 링크로 되어있다. 하지만 클릭할시, 사이트에 연결이 안된다.
CVE-2010-4480 취약점이 무엇인지 검색을 해보았다. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4480) 번역 : phpMyAdmin 3.3.8.1과 3.4.0-beta1 이전 버전의 error.php에서 원격 공격자가 "@" 문자가 포함된("[a@url@page]") BBcode 태그 작성을 통해 XSS 공격을 수행할 수 있다.
아래와 같이 URL에 [비박스 주소]/phpmyadmin/error.php 로 접속해준다. 변수 error 에다가 아무 값을 입려해보았다. error 변수에 입력한 값이 출력되는 것을 확인해보았다.
그렇다면 이제는 취약점에서 확인할수 있는 [a@url@page]구문을 삽입해보았다. 위와 같이 click을 누르면 해당 경로로 이동이...
#
BBCode
#
beebox
#
phpMyAdmin
#
XSS
원문 링크 : XSS - phpMyAdmin BBCode Tag xss
![webhacking.kr 33-1~10 [200]](https://mblogthumb-phinf.pstatic.net/MjAyMDAzMjZfODYg/MDAxNTg1MjAzOTU1NTE0.MgQq6UwZmwqE_T9Ry33qGm17JskiKIBCI8BTnw-6qwAg.ltpkNcd7cukDt8SBGEgz2qYn09nf8HLVglyoOCUtyF8g.PNG.ster098/image.png?type=w2)
![[Mobile Hacking] Drozer를 활용한 취약점 분석 - 액티비티 분석](https://mblogthumb-phinf.pstatic.net/MjAyMDA5MjlfMTU1/MDAxNjAxMzYwNTY4Njkz.tM2sdGfbWVBy8dyQLA31Z4kHD15CPhJzt5Nu-qag_08g.yTW6GFchVzrZcciemzJUt8gw0jEiXOpplLGhudWf_4cg.PNG.ster098/drozer.png?type=w2)