보안지식/XSS (5) 썸네일형 리스트형 XSS 실습 - 피싱 사이트 안녕하세요 저번에 이어서 한 번 피싱 사이트를 만들어 보겠습니다. 일단 피싱 사이트을 만들면 되겠죠? 그럴싸하게 저희가 들어가는 페이지랑 이름 비슷하게 만들겠습니다. xss_7 폴더에 logIn.html을 만들겠습니다. 그다음에 이제 로그인 페이지에 있는 html코드를 복사 붙여 넣기 하겠습니다. 우클릭 후 페이지 소스 코드 보기 누르시면 돼요 그리고 난 뒤에 base 태그 한 줄 추가해서 디자인을 정말 비슷하게 만들겠습니다. 그리고 로그인을 누르면 실제로 그 사이트에 로그인 되게 만들겠습니다. 실제 사이트에 로그인을 해서 아이디와 비번을 검증하는 페이지에 보내면 되겠죠 이 링크를 가져오겠습니다. 우클릭 후 Copy URL 그리고 제가 만든 피싱사이트에 form 태그에 있는 login.php이 아닌 이 .. XSS 정리 - reflected XSS 실습(7번 풀이) 안녕하세요! 저번에 이어서 이번엔 7번을 풀어보겠습니다. 게시물이랑 마이페이지에서는 XSS 공격이 통하는 곳을 못 찾았습니다. 그래서 곰곰이 생각을 해보니 제가 입력한 ID가 그대로 들어가는 것을 확인했습니다. 한 번 ID에 alert문을 넣어보겠습니다. 그럼 ID을 을 하면 되겠죠? 해보겠습니다. 1234 으로 ID 생성하겠습니다. 그리고 로그인을 하면? 이렇게 나옵니다. 그리고 버프 스위트 통해 링클을 생성하겠습니다. 그리고 send 했는데 잘 전달되는 게 보입니다. 이 링크를 생성하면? http://ctf.segfaulthub.com:4343/xss_7/login.php?id=1234%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E&pw=1234 그럼 xss 공격이 통하는.. XSS 공격 기법 정리 (총 정리) 이번에 크사 공격을 또 정리를 하겠습니다. 저희가 해킹을 공부하면서 가장 중요한 게 응용인 거 같아요 왜냐하면 저희가 취약점을 찾으면 얼마나 중요한지 얼마나 공격을 당하는 지까지 알아야 되니깐요 취약점을 찾았는데 공격이 안되면 그게 중요한 취약점이라고 느끼지 않잖아요 그러니깐 저희가 한 번 나쁜 사람이 되어서 취약점을 찾고 이걸 이용하여 어떻게 공격을 하면 되는지 해보는 겁니다. 그리고 남들에게 공격 시나리오를 보여주는 겁니다. 그럼 얼마나 심각한지 깨닫겠죠? 그러니 취약점 찾는 것도 중요하지만 어떡해 공격하는지도 알 필요가 있습니다! 서론이 길었습니다. 바로 시작을 할게요. XSS 총 정리 이긴 한데 저번에 정리한 내용을 이어서 설명하는 겁니다. 저희는 XSS 공격을 어떡해 하는지 알고 있습니다. 근데.. [노말틱 모의 해킹 취업반 6주차 해킹과제] XSS 정리 - reflected XSS 실습(2번,3번 풀이) 안녕하세요 이번에는 XSS에 대한 설명을 잠깐 하고 실습으로 넘어가서 직접 크사 공격을 해보겠습니다. . . . . . 간단하게 설명을 하겠습니다. XSS란? 클라이언트 측 코드(자바스크립트, html 등)를 삽입하는 공격입니다! 그리고 클라이언트의 브라우저에서 실행을 합니다. 그럼 어떡해 공격을 하면 될까요? 저희는 전에 XSS을 정리하면서 설명드린 것은 alert 함수입니다. alert로 공격이 되는 지 안되는지 증명용이라고 설명드렸습니다. 그리고 alert 함수 대신에 악성 코드를 넣으면 된다고만 했죠. 이제 이걸 이용하여 공격하는 방법을 설명해 드리겠습니다. *XSS 에는 공격하는 방법이 크게 2가지로 나누어져 있다고 보시면 돼요 1. 서버에 스크립트를 저장. 2. 서버에 스크립트를 저장하지 않는.. [노말틱 모의 해킹 취업반 6주차 해킹과제] XSS 정리 안녕하세요! 오늘은 XSS 일명 크로스 사이트 스크립팅을 정리하겠습니다! 보통 줄여서 크사라고 불리기도 한데요! 이 크사의 취약점이 정말 많기 때문에 중요합니다. -XSS? 우선 저희가 알아야 될 게 있어요 **Server Side , Client Side Server Side는 php문처럼 서버에서 실행되는 코드를 말해요 Client Side는 html, css, 자바스크립트처럼 클라이언트 측에서 실행되는 코드를 말합니다. 그러니깐 해커들은 클라이언트 측에서 실행되는 코드을 악이용 하여 삽입 공격을 하는 겁니다! 예를 들어볼게요. 저렇게 내용 글에다가 자바 스크립트문을 넣고 저장을 하겠습니다. alert는 자바스크립트 문에서 알림창을 나오게 하는 거예요! 그리고 들어가 보겠습니다. 이렇게 간단하게 예시.. 이전 1 다음
