# XSS
보안 관점에서 REST API의 인증방식 종류와 쿠키의 대안
토큰 인증방식 이란REST API 보안 및 인증 방식REST API 보안 및 인증CORS 가장 기초적인 방식으로, API Key를 사용자에게 제공하여 유효한 API Key를 가진 사용자들만 API사용을 허용하는 방식이다.API Key는 일종의 문자열이며, API를 사
XSS 방지하기
XSS(Cross Site Scripting : 크로스 사이트 스크립팅)특수문자 -> 아스키코드로 변환하여 DB 저장jsp <c:out> 활용다른 jsp 페이지(Tag) 호출
[dreamhack] xss-1 write-up
문제 시작 화면은 다음과 같다. 1. vuln(xss) page 1이라는 문구가 뜬 팝업창을 확인할 수 있다. 2. memo 들어간 횟수에 따라 hello 문구 개수가 늘어난다. 3. flag URL에 사용자가 입력할 수 있는 빈칸과 제출 버튼이 있는 걸 확인할
[dreamhack] XSS-1
문제 목표 및 기능 XSS 문제의 목표는 XSS를 통해 임의 이용자의 쿠키를 탈취하는 것이다. 📌 웹 서비스 분석 엔드포인트 : /vuln 다음은 vuln 페이지를 구성하는 코드이다. 사용자가 입력한 param 파라미터의 값을 출력하는 코드이다. 엔드포인트 :
[dreamhack] ClientSide : XSS
클라이언트 사이드 취약점은 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점이다. 클라이언트 사이드 취약점의 대표적인 공격으로 Cross Site Scripting(XSS) 들 수 있다.왜 CSS가 아닌 XSS인가 궁금했는데 스타일시트 언어에 해당하는 CSS와 중복
Bypass CSP
CSP란?Content Security Policy (CSP, 컨테츠 보안 정책)은 웹 페이지에서 검색하고 실행할 수 있는 리소스를 정의하는 보안 계층이다. XSS나 데이터를 삽입하는 공격이 발생하였을 때 피해를 줄이고 웹 관리자가 공격 시도를 보고 받을 수 있다.CS
보안 - XSS, CSRF, SQL INJECTION
사이트 간 스크립팅정적 웹페이지에서는 문제가 발생하지 않지만, 사용자의 입력을 받아 동적으로 HTML을 조작하는 웹 어플리케이션이 주요 공격 대상권한이 없는 사용자(관리자가 아닌 악의적인 사용자)가 웹 페이지에 악성 스크립트를 삽입하여 공격하는 방법의도하지 않은 행동을
XSS 공격
XSS공격에는 3가지 종류가 있다. Reflected XSSStored XSSDom Based XSS어떤 피해를 입을까?쿠키 정보를 탈취 당할 수 있다. 쿠키가 있다면 해커가 본인 컴퓨터에서 로그인한 것처럼할 수 있고 다양한 로그인 후의 기능을 사용할 수 있다.쿠키등을
JS 보안 취약점
어플리케이션에 해커가 악성 코드를 주입하는 것으로 크로스 사이트 스크립팅의 약자이다. 주로 여러 사용자가 보는 게시판에 글에 악성 코드를 포함하여 올리는 형태로 이루어진다. 악성 코드를 사용하여 사용자 정보인 쿠키, 세션을 탈취하거나 자동적으로 비정상적인 기능을 수행하
[HTML, CSS] Insert Text with Line Break (feat. XSS)
\n 또는 string HTML을 view에 반영하려다가 XSS 공격까지 당해본 경험.
XSS (6) Veil 프레임워크-2
백도어 파일이 준비되었고 이제 메타스플로잇 프레임워크를 이용한 페이로드를 exploit 명령을 사용하여 시작합니다이제 희생자 시스템으로 이동하여 만들어 놓은 백도어를 칼리 리눅스에서 실행중인 웹 서버에 접근하여 다운받은 후 실행합니다실행 후 아무일도 일어나지 않지만 칼
XSS (6) Veil 프레임워크-1
Veil-FrameworkVeil은 안티 바이러스 솔루션을 우회하도록 하고 메타스플로잇 페이로드를 생성하도록 설계된 도구Metasploit여러 보안 취약점 및 침투 테스트 등을 위해 만들어진 거대한 프레임워크대부분 ruby 언어로 작성됨침투 테스트를 할 수 있는 기능들
XSS (5) Beef사용법
이전까지 XSS취약점을 발견했습니다간단하게 alert 메서드를 이용하여 결과창에 알림을 띄우는 정도하지만 이를 악용할 수 있는 여러가지 방법들이 존재합니다그 중 첫번째로 Beef 프레임워크라는 것이 존재합니다후킹된 브라우저에 많은 자바스크립트 명령을 실행하고 브라우저를
XSS (4) Stored XSS
Reflected XSS의 경우 URL을 전송하고 사용자가 클릭하여 접속해야지 XSS가 수행됩니다하지만 Stored XSS는 지속적이고 페이지나 데이터베이스에 저장되어 인젝션 코드는 페이지가 로드될 때 마다 수행됩니다이를 통해 브라우저에 자바스크립트 코드를 삽입할 수
XSS (3)
XSS 취약점 중에 Reflected XSS를 실습했습니다기본적인 자바스크립트 코드를 이용했습니다하지만 이런 XSS 취약점들은 어느 웹사이트에서나 존재할 수 있으며 해당 웹사이트 마다 주입하는 코드가 다를 수 있습니다 자바스크립트 인젝션 탭으로 이동하여 비밀번호 생성기
XSS (2)
기본적으로 자바스크립트 코드를 페이지내에 주입하려고 시도하는 것입니다또한 대상을 탐색하고 텍스트 상자 또는 URL 파라미터를 사용하고 있는 form에 주입하려고 시도한느 것입니다대상 사이트의 URL이 http://target.com/page.php?someth
XSS (1) INTRO
공격자가 상대방의 브라우저에 스크립트가 실행되도록 하여 세션을 가로채거나, 웹사이트 변조, 악의적 콘텐츠 삽입 또는 피싱 공격을 하는 공격 방법중 하나 입니다XSS 취약점은 스크립트 언어와 취약한 코드를 대상으로 진행합니다공격자는 자바스크립트 언어를 이용하여 페이지에
Spring boot 에서 XSS Filter 적용하기
Spring boot에서 xss적용되도록 필터를 작성해봤다첫째로 StringEscapeUtils가 적용 될수 있도록 build.gradle에implementation 'org.apache.commons:commons-text:1.10.0'라이브러리를 추가한다HtmlCh