Roronoa

XSS 스크립트 예시 쿠키 및 세션 탈취 공격 코드 # "hello" 문자열 alert 실행 # 현재 페이지의 쿠키(return type: string) # 현재 페이지의 쿠키를 인자로 가진 alert 실행 # 쿠키 생성(key: name, value: test) # new Image() 는 이미지를 생성하는 함수이며, src는 이미지의 주소를 지정. # "공격자 주소/?cookie=현재페이지의쿠키 " 주소를 요청하기 때문에 공격자 주소로 현재 페이지의 쿠키 요청함 페이지 변조 공격 코드 # 이용자의 페이지 정보에 접근 # 이용자의 페이지에 데이터를 삽입 # 새 창 열기 Cross Site Scripting (XSS): 클라이언트 사이드 취약점, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 ..

XXE 취약점 XXE(XML eXternal Entity) 취약점은 XML 타입의 데이터가 웹 요청을 통해 전송되고, 서버에서 XML 외부 엔티티를 처리할 수 있도록 설정된 경우 나타날 수 있다. 사용자가 웹 애플리케이션으로 전달되는 XML 데이터를 직접 업로드하거나 수정할 수 있는 경우, 공격자는 외부 엔티티를 참조하는 XML 데이터를 전송하여 파일과 같은 서버 내부의 정보를 탈취하거나 서비스 거부 공격, SSRF 등의 공격을 수행할 수 있다. 실습 페이지에 Any bug?라는 버튼이 존재한다. 이 버튼을 누르면 secert이 버튼에 표시된 문자열로 초기화 된다. Content-type 헤더가 text/xml로 설정되어있고 바디에서 XML 형태의 데이터가 전송되고 있다. XXE 취약점 공격은 이와같이 ..