[모의해킹 실습] Stored XSS 취약 페이지 구현 및 공격 실습 2

Stored XSS 공격 원리 공격자가 악성 스크립트를 취약한 서버에 게시글 형태로 등록시킨 후 사용자가 해당 게시물에 접근 시 스크립트가 실행되어 피해를 발생시키는 공격 기법이다. Stored XSS는 다음의 과정으로 이루어진다. 1. 공격자는 게시판에 Stored XSS 취약점이 있는 것을 확인합니다.2. 공격자는 사용자 쿠키 정보를 탈취하는 스크립트를 포함한 게시물을 작성합니다.3. 희생자는 해당 글 열람 시 쿠키 정보가 공격자에게 전송됩니다.4. 공격자는 희생자의 쿠키 정보를 이용해 계정을 탈취합니다. 공격 실습 No.실습 위치비고1localhost/freeboard/write게시판 게시글 추가 기능 취약 페이지 구현 제목 제목은 필수 입력 항목입니다! 본문 Browse… 파일 용량 제한은 50M..

• format_list_bulleted Security/WEB
• · 2021. 7. 13.
• textsms

[모의해킹 실습] XSS 취약 페이지 구현 및 공격 실습

XSS(Cross Site Scripting) XSS는 공격자가 삽입 또는 제공한 악의적인 스크립트가 사용자의 브라우저에서 실행되는 취약점이다. 악의적인 스크립트 코드가 삽입된 입력 값을 서버가 적절한 검증 절차 없이 반환하기 때문에 발생한다. 공격 방법과 우회 방법, 공격 목적이 다양해 자주 사용되는 공격이기 때문에 서비스에 따라 정확한 보안 대책을 세워야 한다. XSS로 인해 발생되는 피해는 다음과 같다. 사용자의 개인정보 탈취 Keylogger 형태의 스크립트를 사용하여 키보드 입력 값 탈취 사용자의 쿠키정보 탈취 Document.cookie를 사용하여 해당 사용자의 쿠키 값 탈취 피싱 사이트로 강제 이동 Location.href등을 사용하여 페이지 강제 이동 악성코드 다운로드 및 실행 악성코드 다..

• format_list_bulleted Security/WEB
• · 2021. 7. 10.
• textsms