yyyyss

CSRF Attack(크로스 사이트 요청 변조 공격)공격자가 피싱을 이용하여 사용자에게 악성 링크를 누르게 하고, 링크를 클릭하면 사용자 모르게 사용자가 로그인되어 있는 웹사이트의 특정 기능을 실행하는 공격 기법 Reflected XSS의 이름과 일부 동일하고 두 개의 공격 모두 공격과정에서 피싱을 이용하기 때문에 헷갈릴 수 있지만 피싱 이후에 진행되는 과정이 아예 다르다.  CSRF Attack 실습-실습 목표-정상적인 패스워드 변경 페이지를 사용하지 않고 CSRF 공격 POC코드를 이용하여 사용자의 패스워드를 바꾸자. 우선 실습 페이지로 가보자. 이렇게 패스워드 변경하는 폼이 표시된다. 일단 패스워드를 test로 바꿔보자.패스워드를 변경한 후에 burp suite에서 proxy history를 확인해..

Stored Cross-Site Scripting AttackRelfected XSS와 다른 점은 스크립트가 요청을 전송한 시점에 바로 반사되는 것이 아니라 웹 서버에 저장되었다가 실행이 된다는 차이점이 있다. -실습 목표-방명록에 자바스크립트를 삽입하고 이 방명록을 방문하는 모든 사용자의 쿠키 정보를 획득하자.이번 실습은 Reflected XSS 실습과 동일하게 해볼 예정이다. 칼리리눅스의 apache2 서버를 실행하고 접근 log를 모니터링하도록 tail 명령어를 실행해 둔 상태로 진행할 것이다. 실습 페이지로 가보자.이번 실습 페이지는 방명록이 구현되어 있다.Reflected XSS처럼 메세지 입력란에 쿠키를 출력하는 스크립트를 삽입해 보자.스크립트를 삽입하려고 했으나 일정 글자를 입력하니 더 이상..

Cross-Site Scripting Attack공격자가 악성 스크립트 코드를 웹에 삽입하여 사용자의 웹 브라우저에서 해당 코드가 실행되도록 만드는 기법 이러한 공격방식은 다른 웹 공격들과 차이점이 있다.다른 웹 공격들은 취약점을 가지고 있는 서버를 공격하는 반면에 Cross-Site Scripting attack은 서버의 취약점을 이용하여 클라이언트 쪽을 공격한다.  Cross-Site Scripting attack은 크게 reflected와 stored로 나눠지는데 여기서는 reflected에 대해서 해볼 것이다. Reflected XSS Attack 실습-실습 목표-실습 페이지의 폼에 자바스크립트를 삽입하여 사용자의 쿠키 정보를 가져와 원격의 웹 서버로 전달시키자. 우선 실습 페이지로 이동하자.이름..