| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
- write up
- system hacking
- WebHacking
- SQL Injection
- sql injection bypass
- web-server
- 웹개발
- 웹해킹 기초
- Wargame
- 프로그래밍
- 사이버보안
- hackthissite
- pythonprogramming
- overthewire
- web hacking
- 개발자
- XSS GAME
- CTF
- Over The Wire
- root me
- 인공지능
- lord of sqlinjection
- 코딩
- burp suite
- geminipro
- webhacking.kr
- Bandit
- 테크트렌드
- 정보보안
- 웹해킹
- Today
- Total
컴맹에서 컴공 그리고 화이트 해커가 되는 그날까지
XSS 공격에 대하여! 본문
XSS공격 (Cross Site Scripting)은 공격자가 상대방의 브라우저에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹 사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것을 말합니다.
XSS 공격(XSS Attack)은 10가지 웹 애플리케이션 보안 취약점 목록인 OWASP Top10에 포함되어 있을 정도로 자주 발생하는 공격입니다.
XSS 공격 방식으로는 쿠키 스니핑(Cookie Sniffing), 스크립트 암호화 및 우회, 악성 스크립트 유포, 키 로거(Key Logger), 마우스 스니퍼(Mouse Sniffer), 거짓 정보 추가 등이 있습니다. XSS 공격은 주로 스크립트 언어와 취약한 코드를 대상으로 합니다.
XSS 공격의 3가지 유형: 반사형 XSS, 영구적 XSS, DOM 기반 XSS
반사형 XSS: 1회성 공격, 악성 스크립트는 링크를 클릭한 사용자의 쿠키 값을 해커에게 전송. 사용자는 버튼 또는 링크를 클릭함으로써 악성 스크립트를 실행하게 되며, 웹사이트에 입력한 모든 정보가 노출된다.
영구적 XSS: 이름 그대로 지속적으로 피해를 입히는 공격 유형이다. 삽입된 스크립트는 데이터베이스에 저장이 되고, 악성 스크립트가 존재하는 게시글 등을 열람하면 쿠키를 탈취당하거나 다른 사이트로 리디렉션되는 공격을 받게 된다.
DOM 기반 XSS: DOM 기반 XSS 공격은 피해자의 브라우저에 초점을 맞춘 것이 특징인 공격이다. 웹사이트의 코드를 조사하지 않고는 취약점을 발견할 수 없다.
실습
XSS 게임을 통해서 XSS 공격을 실습해 보도록 하자
임무
설명
This level demonstrates a common cause of cross-site scripting where user input is directly included in the page without proper escaping.
(이 수준은 사용자 입력이 적절한 이스케이프 없이 페이지에 직접 포함되는 사이트 간 스크립팅의 일반적인 원인을 보여줍니다.)
Interact with the vulnerable application window below and find a way to make it execute JavaScript of your choosing. You can take actions inside the vulnerable window or directly edit its URL bar.
(아래의 취약한 응용 프로그램 창과 상호 작용하고 선택한 JavaScript를 실행하는 방법을 찾으십시오. 취약한 창 내에서 조치를 취하거나 해당 URL 표시줄을 직접 편집할 수 있습니다.)
임무 목표
Inject a script to pop up a JavaScript alert() in the frame below.
Once you show the alert you will be able to advance to the next level.
(스크립트를 삽입하여 아래 프레임에 JavaScript alert()를 팝업합니다.
경고를 표시하면 다음 단계로 넘어갈 수 있습니다.)
1단계라 XSS 취약점 유무 판별을 할 수 있는 가장 흔한 방법을 소개하는 레벨인 것 같다.
<script>alert(1)</script>라고 Enter query here....에 입력하면 JavaScript에 alert()가 팝업 될 것이다.
Congratulations, you executed an alert: 1
You can now advance to the next level.이라는 알림과 함께
다음단계로 가는 버튼이 생겼다!
이렇게 게시판 등에 <script>alert(1)</script>라고 입력했을 때 alert(1)이 화면에 뜬다면 XSS 공격 취약점이 존재한다는 사실을 알 수 있다. 그럼 XSS 공격에 대해 더 재미있고 심오한 내용을 배우기 위해 다음단계로 출발해 보자!
'해킹 > Web hacking' 카테고리의 다른 글
| XSS-game level 4 (0) | 2023.02.02 |
|---|---|
| XSS-game level 2, 3 (0) | 2023.01.31 |
| hackthissite/basic/8번 풀이 (0) | 2022.11.24 |
| hackthissite/basic/7번 문제 풀이 (0) | 2022.11.24 |
| hackthissite/basic/6번 풀이 (0) | 2022.11.24 |
