XSS 실습

XSS 실습

XSS(Cross Site Scripting)의 약자로 XSS는 게시판등에 자바스크립트 코드를 사입하여 개발자가 의도하지 않은 기능이 작동되게 하는 치명적인 공격입니다.

여기서 OWASP도 빼놓을수 없을 것 같은데요 OWASP란 오픈소스 웹 어플리케이션 보안 프로젝트입니다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표합니다.

그중 XSS는 OWASP가 갱신될때마다 항상 TOP 10에 속할 정도로 가장 위험한 공격에 속합니다.

공격은 크게 Reflected XSS와 Stored XSS로 나뉩니다.

워드프레스 APM구축을 통해 실습을 해보겠습니다.

게시판 댓글창에 script태그의 우회를 위해 S를 대문자로 치환하고 Client의 쿠키를 볼수있게 공격 태그를 넣었습니다.

결과로 쿠키값을 확인해볼 수 있습니다.

공유하기 글 요소 저작자표시

from http://devkwon97.tistory.com/5 by ccl(A) rewrite - 2021-04-04 02:25:04