HACKDUN

1. input박스 value에 스크립트를 넣어 XSS공격 성공시키기 위와 같이 value 값에 구문을 삽입하여 XSS를 발생시켜야 하는 상황일 때 value 값에 XSS 기본 스크립트인 alert(document.domain)를 삽입하자 스크립트가 실행되는 것이 아닌 input박스 안에 입력되는 형태로 나타나는 것을 알 수 있다. value 안에 값을 넣는 형식이 아닌 XSS 스크립트를 실행시키기 위해서는 먼저 value 입력 형식을 닫아주어야 한다. 스크립트 : ">alert(document.domain) 2. input박스 value에 스크립트를 넣어 XSS공격 성공시키기 (이 필터링 될 때) 위와 같이 value 값에 구문을 삽입하여 XSS를 발생시켜야 하는 상황이고 는 사용할 수 없을 때 를 인..

https://duni0107-day.tistory.com/58?category=703364 XSS공격으로 쿠키값 탈취 XSS란? -> 게시판에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동되게 하는 공격 쿠키란? -> 방문자의 정보를 방문자 컴퓨터의 메모리에 저장하는 것 말함 ex) ID, 비밀번호, 방문 사이트 등 저장.. duni0107-day.tistory.com 위의 게시글에서는 나의 쿠키값을 XSS로 탈취하는 실습을 해보았다. 하지만!!!!!!! 내가 원하는 것은 나의 쿠키값이 아닌 글을 읽은 누군가의 쿠키값을 탈취하는 것이다. 어떻게 해야될까? 먼저 나의 로컬 웹에 cookie.php를 작성한다. 데이터를 받아와서 data.txt로 저장하고 설정한 이미지를 출력한다는 내용의 코딩..

XSS란? -> 게시판에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동되게 하는 공격 쿠키란? -> 방문자의 정보를 방문자 컴퓨터의 메모리에 저장하는 것 말함 ex) ID, 비밀번호, 방문 사이트 등 저장 공격 전 준비해야 할 환경 1. XSS가 실행되기 위해 보안이 되어있지 않은 게시판 2. 쿠키에는 ID, PW가 저장되도록 함 (원래 쿠키 값은 랜덤 값으로 구성되어 있지만 난 해킹이 확실히 와닿게 평문으로 ID, PW를 저장해줄것임) 공격 시나리오 게시판에 간단한 XSS 스크립트를 업로드해 공격 실행 여부 확인 XSS 공격으로 쿠키값 탈취 얻어낸 쿠키 값으로 로그인 간단한 XSS 스크립트를 입력해서 공격 실행 여부를 확인 실행이 된다면 경고창으로 HI 가 떠야함 HI가 뜨는 것을 확인했음..

XSS 공격이란 무엇인가? (Cross Site Scripting)게시판이나 웹 메일 등에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동되게 하는 치명적 공격종류 : Reflected XSS, Stored XSS Reflected XSS 스크립트를 입력하면 바로 반사되어 바로 실행이 되는 방법ex) URL 주소 입력창에 직접 주소 입력해서 공격 Stored XSS스크립트를 저장해 두었다가 공격하는 방법ex) 게시판 등에 글을 올리는 기법 기본적인 공격 구문 이론으로 공부한 XSS공격 실습이 궁금하다면?↓https://duni0107-day.tistory.com/58?category=703364 XSS공격으로 쿠키값 탈취XSS란? -> 게시판에 스크립트 코드를 삽입해 개발자가 고려하지 않은 기..