XSS 공격 : 모의 해킹 해보기

- 2023.03.23

---

xss 공격

 

▷ XSS 공격 (Corss Site Scripting)

: 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법

• 자바스크립트를 자주 사용
• 단순하고 가장 기초적인 웹 해킹 방법
• 공격 성곡시 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되며, 쿠키나 세션 토큰 등의 정보를 탈취 당함

 

Reflected XSS

: URL 파라미터에 스크립트를 넣어 서버에 저장하지 않고 즉시 스크립트를 만드는 방식

• 브라우저 자체에서 차단하는 경우가 많아 상대적으로 공격 성공 힘듦

 

1. 보안이 취약한 사이트 발견
2. 악성 스크립트가 담긴 URL을 만들어 일반 사용자들에게 전달
3. 일반 사용자가 URL을 클릭할시, 일반 사용자 브라우저에서 보안이 취약한 사이트로 요청을 전달
4. 일반 사용자의 브라우저에서 악성 스크립트가 실행
5. 사용자의 정보가 해커에게 전달

 

• 실습

<scripts>alert('xss')p</script> 입력

 

접속한 모든 사용자에게 스크립트 실행

 

 

Stored XSS

: 사이트 게시판이나 댓글, 닉네임 등 스크립가 서버에 저장되어 실행되는 방식

• Reflected XSS보다 공격 경로가 다양하여 더 위험함

 

1. 보안이 취약한 사이트 발견
2. 사이트가 제공하는 게시판에 스크립트 작성
3. 일반 사용자가 게시글 조회하며, 서버로부터 악성 스크립트가 담긴 게시글 응답 받음
4. 일반 사용자의 브라우저에서 악성 스크립트 실행
5. 사용자의 정보가 해커에게 전달

 

• 실습

 

일반 사용자가 접근 했을 때 스크립트 실행