- 개요
● 악의 적인 스크립트 삽입 및 실행을 통한 사용자의 정보(쿠키) 가로채기에 사용된다
● 사용자로부터 입력받은 값을 검증하지 않고 바로 실행해서 생기는 취약점을 말한다- 원인
● XSS 공격 자체는 아무런 영향이 없지만 함께 사용되는 코드에 따라서 여러가지 공격이
발생한다
● 사용자가 접근하는 웹 사이트에 XSS 공격 코드를 삽입하면 사용자가 원하지 않는
페이지로 이동된다
● 악성코드를 통해 감염시키거나 사용자 정보를 수집하는 공격이 만들어질 수 있다
실습 1. XSS Attack(Stored XSS)
공격
<script>alert("Get Hacked)</script>
실습 2. Stored XSS Attack
- 공격 및 검증 1. XSS Attack Script 미적용
- 공격 및 검증 2. XSS Attack Script 적용
- XE 제로보드 실습
● xe 제로 보드 올리고 관리자 권한으로 페이지를 우측 상단의 관리를 클릭해서 수정한다
● 게시판을 추가한다
● 게시글을 추가할 때 우측 상단의 소스를 클릭하고 아래 코드를 입력하면 팝업창이 뜬다
- 게시판에 추가
→ 팝업창이 뜨는 데 그 걸 누르면 원하는 사이트로 즉시 연동된다
(피싱사이트의 기본이다)
→ 아래 위치(/var/www/html)에 html 파일 만들고 xe 제로보드에서 생성한 html 연결<script>alert("공격!!!");window.open("default.html");</script>
System / Cloud / DevOps Engineer