웹 공격 기법들/XSS & CSRF 검색 결과

해당 글 3

CSRF 실습 (DVWA 사용)

CSRF 웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다. 일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다. 간단히 설명하자면 메일이나 게시판등을 우연히 들어가게 만드는것만으로도 회원 정보가 수정,삭제,등록 되게 끔 만드는 공격 기법이다.(단 로그인한 상태) 실습 1. 먼저 admin, admin으로 로그인 되는것을 확인한다. id: admin pw: admin 2. 이후 비밀번호를 aaaa로 바꿔준다. id: admin pw:..
웹 공격 기법들/XSS & CSRF 2021. 2. 23. 04:11

XSS 실습(DVWA 사용)

XSS는 크게 Reflected XSS 와 Stored XSS 두 가지로 분류할 수 있다. Reflected XSS 는 공격 스크립트가 삽입 된 URL을 사용자가 쉽게 확인할 수 없도록 변형시킨 후 이메일이나 다른 웹 사이트 등에 클릭을 유도하도록 하는 방법이며, Stored XSS 는 스크립트를 웹 서버에 저장하여 -일반 게시판 등에 공격자가 게시글에 스크립트를 삽입 사용자가 해당 페이지를 클릭하는 순간 스크립트가 실행되도록 하는 방법입니다. Reflected XSS 위에 입력한 이름을 출력해주는 페이지가 있다. 여기에 XSS공격을 위한 스크립트를 넣게 되면 아래와 같이 값이 전달되며 제대로 script가 실행되는 모습이다. 취약한 코드 여기서 보안을 높이려면 입력받는 변수에 xss를 막아주는 함수를 ..
웹 공격 기법들/XSS & CSRF 2021. 2. 22. 04:55

XSS와 CSRF에 대해

사이트 간 스크립팅(XSS; Cross-Site Scripting) 웹 애플리케이션에서 많이 나타나는 취약점의 하나로, 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다. 주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다. 이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동한다. 사이트 간 요청 위조(CSRF; Cross-Site Request Forgery) 웹사이트 취약점 공격의 하나로, 사용자가 ..
웹 공격 기법들/XSS & CSRF 2021. 1. 16. 23:55