| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
- wargame
- 해킹
- 앱해킹
- webdev
- XSS
- 화이트해커
- 코드스테이츠
- 보안
- 웹해킹
- 실습
- 개발
- sql
- 모의해킹
- 공격기법
- ctf
- 워게임
- 웹개발
- 해킹공부
- hacking
- 핀트
- webhacking
- 간추린아침뉴스
- 퀵뉴스
- 뉴스스크랩
- 로보어드바이저
- 리눅스
- 우분투
- sqlinjection
- 프로덕트매니저
- pm부트캠프
- Today
- Total
무기는 끈기
[Web Hacking / 웹 해킹] XSS 크로스 사이트 스크립팅 공격기법이란? 본문
※ 설명을 위한 사진이 첨부되어 있어 PC화면으로 보는 것을 권장드립니다.
지난 게시글에선 다양한 공격기법 중 SQL injection에 대해 알아보았다.
이번엔 XSS라는 SQLi만큼 중요하고, 유명한 공격기법에 대해 알아볼 예정이다.
XSS: 크로스 사이트 스크립팅
크사, 크스스, 크싸..로 실무에선 불리는 공격 기법이다.
앞글자가 cross 임에도 왜 x로 쓰였을까, css라는 용어가 이미 존재하기 때문이라는 합리적 의심이 된다.
2가지 공격 기법의 가장 분명한 차이는 바로 어디에 공격을 하는가! 이다.
SQLi는 서버에게 공격을 하는 기법이고,
XSS는 클라이언트에게 공격을 하는 기법이다.
클라이언트 측에 보여지는 프로트엔드 코드(HTML, CSS, Javascript)를 조작해서 이용자에게 피해를 주는 공격 기법이다.주로 프론트 코드 중 조작 가능한 취약점을 찾아내어, alert을 띄우는 것이 대표적이다.
XSS 공격 기법엔 대표적으로 3가지 전략이 있다.
이번에는 1번과 2번 전략만 다룰 예정이다.
최종적으로 XSS 공격이 제대로 먹혔다는 증거: alert(1)
+ XSS는 하단의 글에서 직접 ctf 문제를 푸는 과정을 통해 더 자세히 정리하였으니 참고해주세요!
https://yubi323.tistory.com/75
[Web Hacking / 웹 해킹] CTF, 워게임 문제풀이 : XSS 1 - write up
(XSS 공격기법에 대한 설명은 다음 게시글에서 확인!) 브라우저 및 버프 스위트 출력 확인 -> 출력O 특수문자 < ' " > 삽입 테스트 -> Response에 출력 안됨 --> XSS 불가능 1. 공지 사항 게시판에 글 작성
yubi323.tistory.com
