Web (9) 썸네일형 리스트형 DVWA Stored Cross Site Scripting (XSS) medium level 사전 지식 XSS(Cross Site Scripting) 취약한 웹 사이트(게시판, 웹 메일 등)에 악성 스크립트 코드를 삽입하여 개발자가 고려하지 않은 기능을 작동하게 하는 공격을 말한다. OWASP TOP 10에 올라가 있는 공격으로 큰 위험요소 중 하나이다. 웹 언어 중 하나인 CSS와 약자가 같아 XSS라고 되었다. Stored XSS 취약점이 있는 웹 서버에 악성 스크립트를 영구적으로 저장하는 공격 방법이다. ➀ 악성 스크립트를 삽입해놓은 게시판, 사용자 프로필, 댓글 등을 업로드한다. ➁ 피해자가 악성 스크립트가 저장되어있는 게시물을 서버에 요청한다. ➂ 서버는 악성 스크립트를 사용자에게 전달해주게 되고 사용자 브라우저에 공격이 실행된다. 실습 박스를 보면 stripos 함수로 ‘ 대상 문자열.. DVWA Stroed Cross Site Scripting (XSS) low level 사전 지식 XSS(Cross Site Scripting) 취약한 웹 사이트(게시판, 웹 메일 등)에 악성 스크립트 코드를 삽입하여 개발자가 고려하지 않은 기능을 작동하게 하는 공격을 말한다. OWASP TOP 10에 올라가 있는 공격으로 큰 위험요소 중 하나이다. 웹 언어 중 하나인 CSS와 약자가 같아 XSS라고 되었다. Stored XSS 취약점이 있는 웹 서버에 악성 스크립트를 영구적으로 저장하는 공격 방법이다. ➀ 악성 스크립트를 삽입해놓은 게시판, 사용자 프로필, 댓글 등을 업로드한다. ➁ 피해자가 악성 스크립트가 저장되어있는 게시물을 서버에 요청한다. ➂ 서버는 악성 스크립트를 사용자에게 전달해주게 되고 사용자 브라우저에 공격이 실행된다. 실습 low level에서는 어떠한 필터링 함수도 없다.. DVWA Reflected Cross Site Scripting (XSS) high/impossible level 사전 지식 XSS(Cross Site Scripting) 취약한 웹 사이트(게시판, 웹 메일 등)에 악성 스크립트 코드를 삽입하여 개발자가 고려하지 않은 기능을 작동하게 하는 공격을 말한다. OWASP TOP 10에 올라가 있는 공격으로 큰 위험요소 중 하나이다. 웹 언어 중 하나인 CSS와 약자가 같아 XSS라고 되었다. Reflected XSS 웹 애플리케이션의 지정된 변수를 이용할 때 발생하는 취약점을 이용한 것이다. 검색 결과, 에러 메시지 등 서버가 외부에서 입력받은 값을 받아 브라우저에게 응답할 때 전송하는 과정에서 입력되는 변수의 위험한 문자를 사용자에게 그대로 돌려주면서 발생하는 공격이다. 공격 과정은 다음과 같다. ➀ XSS 공격에 취약한 웹 사이트인 것을 확인하고, 정보를 획득할 수 있.. DVWA Reflected Cross Site Scripting (XSS) medium level 사전 지식 XSS(Cross Site Scripting) 취약한 웹 사이트(게시판, 웹 메일 등)에 악성 스크립트 코드를 삽입하여 개발자가 고려하지 않은 기능을 작동하게 하는 공격을 말한다. OWASP TOP 10에 올라가 있는 공격으로 큰 위험요소 중 하나이다. 웹 언어 중 하나인 CSS와 약자가 같아 XSS라고 되었다. Reflected XSS 웹 애플리케이션의 지정된 변수를 이용할 때 발생하는 취약점을 이용한 것이다. 검색 결과, 에러 메시지 등 서버가 외부에서 입력받은 값을 받아 브라우저에게 응답할 때 전송하는 과정에서 입력되는 변수의 위험한 문자를 사용자에게 그대로 돌려주면서 발생하는 공격이다. 공격 과정은 다음과 같다. ➀ XSS 공격에 취약한 웹 사이트인 것을 확인하고, 정보를 획득할 수 있.. DVWA Reflected Cross Site Scripting (XSS) low level 사전 지식 XSS(Cross Site Scripting) 취약한 웹 사이트(게시판, 웹 메일 등)에 악성 스크립트 코드를 삽입하여 개발자가 고려하지 않은 기능을 작동하게 하는 공격을 말한다. OWASP TOP 10에 올라가 있는 공격으로 큰 위험요소 중 하나이다. 웹 언어 중 하나인 CSS와 약자가 같아 XSS라고 되었다. Reflected XSS 웹 애플리케이션의 지정된 변수를 이용할 때 발생하는 취약점을 이용한 것이다. 검색 결과, 에러 메시지 등 서버가 외부에서 입력받은 값을 받아 브라우저에게 응답할 때 전송하는 과정에서 입력되는 변수의 위험한 문자를 사용자에게 그대로 돌려주면서 발생하는 공격이다. 공격 과정은 다음과 같다. ➀ XSS 공격에 취약한 웹 사이트인 것을 확인하고, 정보를 획득할 수 있.. DVWA Dom based Cross Site Scripting (XSS) high/impossible level 사전 지식 XSS(Cross Site Scripting) 취약한 웹 사이트(게시판, 웹 메일 등)에 악성 스크립트 코드를 삽입하여 개발자가 고려하지 않은 기능을 작동하게 하는 공격을 말한다. OWASP TOP 10에 올라가 있는 공격으로 큰 위험요소 중 하나이다. 웹 언어 중 하나인 CSS와 약자가 같아 XSS라고 되었다. Dom based XSS 피해자의 브라우저에서 DOM 환경을 수정하여 클라이언트 측 코드가 예상치 못한 방식으로 공격 구문이 실행되는 것을 공격 방법을 말한다. 페이지 자체는 변하지 않지만, 페이지에 포함된 브라우저 측 코드가 DOM 환경에서 악성 코드로 실행된다. 즉, DOM Based XSS는 서버까지 가지 않고 브라우저에서만 발생한다. 실습 해당 코드를.. DVWA Dom based Cross Site Scripting (XSS) medium level 사전 지식 XSS(Cross Site Scripting) 취약한 웹 사이트(게시판, 웹 메일 등)에 악성 스크립트 코드를 삽입하여 개발자가 고려하지 않은 기능을 작동하게 하는 공격을 말한다. OWASP TOP 10에 올라가 있는 공격으로 큰 위험요소 중 하나이다. 웹 언어 중 하나인 CSS와 약자가 같아 XSS라고 되었다. Dom based XSS 피해자의 브라우저에서 DOM 환경을 수정하여 클라이언트 측 코드가 예상치 못한 방식으로 공격 구문이 실행되는 것을 공격 방법을 말한다. 페이지 자체는 변하지 않지만, 페이지에 포함된 브라우저 측 코드가 DOM 환경에서 악성 코드로 실행된다. 즉, DOM Based XSS는 서버까지 가지 않고 브라우저에서만 발생한다. 실습 소스 코드에서 파란 박스 부분을 보면 .. DVWA Dom based Cross Site Scripting (XSS) low level 사전 지식 XSS(Cross Site Scripting) 취약한 웹 사이트(게시판, 웹 메일 등)에 악성 스크립트 코드를 삽입하여 개발자가 고려하지 않은 기능을 작동하게 하는 공격을 말한다. OWASP TOP 10에 올라가 있는 공격으로 큰 위험요소 중 하나이다. 웹 언어 중 하나인 CSS와 약자가 같아 XSS라고 되었다. Dom based XSS 피해자의 브라우저에서 DOM 환경을 수정하여 클라이언트 측 코드가 예상치 못한 방식으로 공격 구문이 실행되는 것을 공격 방법을 말한다. 페이지 자체는 변하지 않지만, 페이지에 포함된 브라우저 측 코드가 DOM 환경에서 악성 코드로 실행된다. 즉, DOM Based XSS는 서버까지 가지 않고 브라우저에서만 발생한다. 실습 사진들을 보면 GET 방식이기 때문에 .. 이전 1 2 다음
