diff --git a/README.md b/README.md
index 7ae6453..8c28710 100644
--- a/README.md
+++ b/README.md
@@ -1,2 +1,67 @@
-# HTML_Injection
-[bWAPP] HTML_Injection
+이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다.    
+해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.     
+
+비박스를 로그인하면 위와 같은 화면이 나옵니다. 이번에는 OWASP 항목 중 하나인 인젝션에 대해서 살펴보도록 하겠습니다.     
+ 
+A1 - Injection      
+인젝션은 공격자가 악의적으로 주입한 데이터를 웹 애플리케이션에서 데이터베이스의 정상적인 쿼리 일부로 인식하고 실행할 때에 발생하는 취약점으로, 데이터를 입력받거나 데이터베이스 정보를 요청하는 곳에는 인젝션 공격이 가능합니다.     
+       
+공격 방법이나 사용 언어에 따라 인젝션의 종류가 달라지는데, 대표적인 유형으로 SQL 인젝션, HTML 인젝션, OS Command 인젝션, LDAP 인젝션 등이 있습니다. 인젝션 공격 중 SQL 인젝션은 데이터베이스 언어인 SQL문을 사용하기 때문에 데이터베이스 내의 정보를 유출 또는 수정하거나 데이터베이스에 악성코드를 주입하여 사용자의 컴퓨터를 공격할 수 있습니다.       
+ 
+HTML 인젝션      
+HTML 인젝션은 코드 인젝션 공격의 하위 개념으로, 취약한 매개변수에 악의적인 HTML 코드를 삽입하는 공격입니다. 공격자는 사용자가 연결을 요청한 페이지에 HTML 태그를 삽입하여 의도하지 않은 내용을 보게 하거나 악의적인 사이트에 연결시킬 수 있습니다.     
+ 
+HTML 인젝션 중에 반사(Reflected) 기법은 URL에 악의적인 HTML 태그를 삽입하여 링크를 클릭한 사용자의 PC에서 HTML 태그가 실행되게 하는 공격입니다.     
+특히 GET 방식은 데이터를 전송할 경우 URL에 변수명과 입력 값을 노출하게 됩니다.     
+ 
+A1 - HTML Injection - Reflected (GET) 
+bWAPP에 로그인한 후 'HTML Injection - Reflected (GET)' 항목을 선택 후 [Hack] 버튼을 누르시면 다음과 같이 'html_get.php'라는 페이지가 나옵니다.     
+
+HTML 인젝션 공격을 위한 HTML 태그를 텍스트 필드에 입력합니다. 해당 입력한 HTML 태그 이외에도 인젝션 공격에 사용할 수 있는 다양한 태그가 있으니 테스트를 해보시기 바랍니다.   
+
+<script>alert(1)</script> 스크립트 구문 입력 시 팝업창입니다.
+
+헤딩 태그 - 제목 표기에 많이 사용
+<h1> HTML Injection TEST </h1>
+ 
+이미지 태그 - src 속성에 입력한 경로의 이미지 출력
+<img src=http://127.0.0.1/bWAPP/images/nsa.jpg>
+
+위와 같이 입력하고 [Go] 버튼을 클릭하면 HTML 태그가 삽입된 페이지를 정상적인 페이지로 출력을 해줍니다.
+ 
+http://127.0.0.1/bWAPP/htmli_get.php?firstname=%3Ch1%3E+HTML+Injection+TEST+%3C%2Fh1%3E&lastname=%3Cimg+src%3Dhttp%3A%2F%2F127.0.0.1%2FbWAPP%2Fimages%2Fnsa.jpg%3E&form=submit
+]
+GET 메서드로 요청하기 때문에 웹 브라우저의 URL 입력 부분에 변수가 노출되고, URL 입력란의 'firstname'과 'lastname'이라는 변수에 입력한 HTML 태그가 보이게 됩니다.
+ 
+HTML 인젝션 결과로 웹브라우저에서 'Welcome' 메시지 밑에 삽입한 헤딩 태그와 이미지 태그 내용이 출력이 되면 삽입이 성공한 것입니다.
+
+동일하게 First name과 Last name에 HTML 구문을 입력 후 [Go] 버튼을 눌러보았습니다.
+
+아까와는 다르게 입력한 태그가 실행되지 않고 화면에 문자열이 그대로 출력되는 것을 확인할 수 있습니다. 또한 GET 방식이기 때문에 URL 부분에는 동일하게 변수가 노출이 됩니다.
+ 
+여기서 확인해볼 수 있는 것은 태그를 필터링한다는 것을 알 수 있습니다. 태그를 인코딩한 후 다시 입력을 해보도록 하겠습니다.
+
+버프 스위트의 Decoder 메뉴를 이용하여 인코딩을 하였습니다.
+ 
+Last name 부분에 인코딩한 값을 입력한 후 [Go] 버튼을 눌러보았습니다
+
+정상적으로 스크립트가 실행이 되는 것을 확인할 수 있습니다.
+ 
+이번에는 참고사이트에 있는 스크립트 구문을 이용하여 공격을 수행해 보도록 하겠습니다.
+ 
+공격 구문 (인코딩 필요)
+"><h1><IFRAME width="420" height="315" SRC="https://www.daum.net" frameborder="0" onmouseover="alert('Welcome')"></IFRAME>123 </h1>
+
+
+해당 공격 구문을 입력 후 [Go] 버튼을 눌러보았습니다. IFRAME 태그는 해당 페이지 내의 다른 페이지를 호출할 때 사용되는 태그입니다.
+
+공격 구분 입력 후 페이지의 모습입니다. 다음 페이지가 호출된 것을 확인할 수 있습니다. 일단 에디트 박스 안에 값을 입력 시 값 입력수 길이 제한이 없어 쉽게 공격을 수행할 수 있었습니다.
+ 
+bWAPP 폴더의 'functions_external.php' 파일을 살펴보면 'xss_check_3' 함수로 입력 데이터를 우회하는 것을 확인할 수 있습니다. htmlspecialchars 함수는 PHP에서 제공하는 기본 함수로, HTML에서 사용하는 특수 문자를 UTF-8로 반환합니다.
+ 
+난이도 상
+
+난이도 상에서는 xss_check_3 함수로 입력 데이터를 우회하고 있습니다. xss_check_3 함수는 functions_external.php에 정의 되어 있고, htmlspecialchars 함수로 입력값을 우회 합니다.
+
+ htmlspecialchars 함수는 PHP에서 제공하는 기본 함수로, HTML에서 사용하는 특수 문자를 UTF-8로 반환합니다.
+ htmlspecialchars 함수에서 반환하는 함수는 특수문자 &, ", ', <, > 입니다. 따라서 HTML 인젝션을 막으려면 htmlspecialchars 함수를 사용하여 HTML 태그에 사용되는 문자들을 인식하지 않게 인코딩 해줍니다.
