Fabriqué en France Drapeau français

xss 공격 예제

공격자 제어 서버(192.168.149.128)에서 들어오는 연결을 수신하는 경우 URL에 쿠키 값(보안 및 PHPSESSID)이 추가된 수신 요청을 볼 수 있습니다. 서버의 access.log 파일에서 동일한 정보를 찾을 수 있습니다. 또 다른 것은, 그 이 공격을 위험 하 게 하는 것은 웹 서비스에 저장 될 수 있는 가능성-이 방법으로 그것은 오랜 기간 동안 많은 사용자에 영향을 미칠 수 있습니다. XSS는 취약한 시스템에 대해 수행할 수 있으며 취약점을 찾기가 어려운 경우도 있습니다. 교차 사이트 스크립팅 공격은 피해자의 브라우저에서 실행되는 악성 코드 주입입니다. 악의적인 스크립트는 웹 서버에 저장하고 사용자가 적절한 기능을 호출할 때마다 실행될 수 있습니다. 또한 웹 서버에 저장된 스크립트없이 다른 방법으로 수행 할 수 있습니다. 이 시나리오에서는 공격자가 제어하는 서버에 JavaScript 파일을 만들어야 합니다. 파일에는 스크립트가 실행 중인 페이지의 스크린샷을 찍는 논리가 포함되어 있습니다: XSS(교차 사이트 스크립팅)는 일반적으로 웹 응용 프로그램에서 발견되는 컴퓨터 보안 취약점의 한 유형입니다. XSS를 사용하면 공격자가 클라이언트 쪽 스크립트를 다른 사용자가 보는 웹 페이지에 삽입할 수 있습니다. 공격자가 동일한 원본 정책과 같은 액세스 제어를 우회하는 데 사이트 간 스크립팅 취약점을 사용할 수 있습니다. 웹 사이트에서 수행된 교차 사이트 스크립팅은 2007년 기준으로 시만텍이 문서화한 모든 보안 취약점의 약 84%를 차지합니다. [1] 2017년 XSS는 여전히 주요 위협 벡터로 간주되었습니다.

[2] XSS 효과는 취약한 사이트에서 처리하는 데이터의 민감도와 사이트의 소유자 네트워크에서 구현한 보안 완화의 특성에 따라 사소한 성가신 것부터 중요한 보안 위험에 이르기까지 다양합니다. 따라서 악성 스크립트는 피해자의 브라우저에서 실행되거나 사용자를 위해 가짜 양식이 표시되고 있습니다. XSS 공격이 발생할 수 있는 몇 가지 형태가 있습니다. 웹 페이지 또는 웹 응용 프로그램은 생성하는 출력에서 비위생적 사용자 입력을 사용하는 경우 XSS에 취약합니다. 그런 다음 이 사용자 입력은 피해자의 브라우저에서 구문 분석해야 합니다. XSS 공격은 VBScript, ActiveX, 플래시, 심지어 CSS에서도 가능합니다. 그러나 자바스크립트는 대부분의 브라우징 경험의 기본이기 때문에 자바스크립트에서 가장 일반적입니다. 이 공격의 주요 목적은 다른 사용자의 ID 데이터(쿠키, 세션 토큰 및 기타 정보)를 도용하는 것입니다. 대부분의 경우 이 공격은 다른 사람의 쿠키를 훔치는 데 사용됩니다. 우리가 알다시피, 쿠키는 우리가 자동으로 로그인하는 데 도움이됩니다. 따라서 도난당한 쿠키를 사용하면 다른 ID로 로그인할 수 있습니다. 그리고 이것은 이 공격이 가장 위험한 공격 중 하나로 간주되는 이유 중 하나입니다.

XSS 공격은 태그를 사용하지 않고 수행 될 수있다. 예를 들어 공격자가 XSS 취약점을 악용하는 데 성공하면 계정 자격 증명에 액세스할 수 있습니다.

MENU