정보보안 스토리

취약한 웹 어플리케이션 DVWA를 통한 취약점 진단 실습입니다. 크로스사이트스크립크(XSS) 공격 입니다. 일단 XSS에 대한 자세한 설명은 전 포스팅인 아래 URL을 참고 부탁드립니다.! https://itinformation.tistory.com/60 XSS(Reflexted) 취약점 중 LOW, MIDDLE, HIGH에 대한 공격 구문 및 반응들을 살펴 보겠습니다. 처음으로 동작원리를 한번 살펴보겠습니다. 제가 "test"를 입력했을때 Hello test라는 문자열이 출력되는 것을보면, 입력한 값을 그대로 출력해주는 동작을 하는 것임을 예상할 수 있습니다. 해당 입력 폼에 XSS구문을 입력해가며, 테스트 해보겠습니다. ---------LOW LEVEL --입력구문 -> test"> 별다른 검증없이 ..

XSS (크로스사이트 스크립트, 크로스사이트 스크립팅, Cross Site Scripting) 취약점 1. 정의 - 검증되지 않은 입력 값으로 인해 사용자의 웹 브라우저에서 의도하지 않은 악성 스크립트가 실행되는 취약점이다. - 외부 입력이 동적 웹페이지 생성에 사용될 경우, 전송된 동적 웹 페이지를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되는 취약점이다. - 공격을 통해 사용자의 개인정보 및 쿠키정보 탈취, 악성코드 감염, 웹 페이지 변조 등이 발생한다. - 서버를 공격하는게 아니라, 서버를 경유해 클라이언트를 공격하는 것이다. 2. XSS 유형 1). stored XSS - 공격용 악성 스크립트가 공격 대상의 DB등에 보존되어 있는 경우를 지속형 XSS 라고 한다. - 주로 게시판이나 방명..