ํด๋น ๋ธ๋ก๊ทธ๋ ํดํน ๋ฐ ๋ณด์ ๋ธ๋ก๊ทธ๋ก ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก ์์ฑ๋์ด์ง๊ณ ์์ต๋๋ค. ์๋์ ๋ด์ฉ์ ๊ธฐ๋ฐ์ผ๋ก ํดํน ์๋ ๋ฐ ์ค์ ๊ณต๊ฒฉ์ ์๋ํ์ฌ ์ผ์ด๋๋ ๋ชจ๋ ์ฑ ์์ ๋ณธ์ธ(๋ฐ๋ผํ์)์๊ฒ ์์์ ์๋ ค๋๋ฆฌ๋ฉฐ, ๊ธ์ด์ด๋ ์๋ฌด๋ฐ ์ฑ ์์ ์ง์ง ์์ต๋๋ค. ๊ผญ ๊ณต๋ถ ๋ฐ ์ฐ๊ตฌ์ฉ์ผ๋ก๋ง ์ฌ์ฉํ์ฌ ์ฃผ์๊ธธ ๋ฐ๋๋๋ค. ๊ฐ์ฌํฉ๋๋ค.
ํ๋ณด๊ธ
์ฌ์์ท์ ๋๋ด์คํ๋์ค
์ต๊ทผ์ ์น์ทจ์ฝ์ ๊ด๋ จ ์ ๋ฌด๋ฅผ ํ๋ค๊ฐ ์ฐพ์ ๋ด์ฉ์ ์ ๋ฆฌํ๋ ค๊ณ ํ๋ค.
๋จผ์ XSS์ ๊ฒฝ์ฐ ๋ค์ํ ๊ณต๊ฒฉ์ด ๊ฐ๋ฅํ๊ณ ๋ค์ํ ์ฐํ๋ ๊ฐ๋ฅํ๋ค. ๊ทธ๋งํผ ๋ง๋๋ฐฉ๋ฒ ๋ํ ๋ค์ํ๋ค.
ํํ github์์ xss cheatsheet ๋ง ๊ฒ์ํด๋ ๋ช๋ฐฑ๊ฐ์์ ๋ช์ฒ๊ฐ์ payload ๋ค์ด ๋ค์ํ๊ฒ ๋์จ๋ค.
๋ฐ๋๋ก ์๊ฐํ๋ฉด ๊ทธ๋งํผ ์๋ ค์ง payload์ธ ๋งํผ ์ ๋ณด๋ณดํธ์ฅ๋น์์ ์ฐจ๋จ์ด ๋ ํ๋ฅ ์ด ๋๋ค๊ณ ์๊ฐํ๋ค.
์ทจ์ฝ์ ์ง๋จ์ ํ๋ค๋ณด๋ ๊ฒ์๊ธ์ ํตํด XSS ๊ฐ ๊ฐ๋ฅํ ๊ฒ๊ฐ์ ์ด๋ฐ ์ ๋ฐ๋ฐฉ๋ฒ์ ํด๋ณด์๋ค. ๊ฒฐ๊ณผ๋ ์คํจํ๋ค. ๋ค์ํ ๋ฐฉ๋ฒ์ผ๋ก ์๋๋ฅผ ํด๋ณด์๋๋ฐ ์ด๋ฏธ์ง๋ฅผ ํตํ์ฌ ํด๋ณด๋ ค๊ณ ํ๋ค.
<script>alert(document.cookie);>
<img src=0 onerror=alert(document.cookie);>
ํด๋น ๊ตฌ๋ฌธ์ ๋น์ฐํ๊ฒ ๋จนํ์ง์์๋ค.
์ข๋ ์์ธํ ๋งํ๋ฉด script๊ตฌ๋ฌธ์ ์คํ๋์ง์์๊ณ img src๋ ๊ฐ๋ฅํ๋ค. img src์ ๊ฒฝ์ฐ 0์ด๋ผ๋ ์ฌ์ง์ด ์์ด ์๋ฐ์ด ๋จ๋ ๊ฒ๊น์ง๋ง ๋์ด ๋ค์ javascript event handler๋ ์คํ๋์ง์์๋ค. ์ด๋ฒคํธํธ๋ค๋ฌ์ ๊ฒฝ์ฐ ๊ณต๋ฐฑ์ฒ๋ฆฌ๊ฐ ๋๋ฉด์ ์ญ์ ๊ฐ ๋๋ ๊ฒ์ ํ์ธํ์๋ค.
๋ง์ฝ ์ฌ์ง์ ์ฌ๋ฆด์ ์๋ ์ฌ์ง์ ๋ก๋์ ํ๋ก์๋ก ์ก์์ ๋์ค์ ๋ณ๊ฒฝํ๋ ๋ฐฉ๋ฒ์ ํด๋ณด๋ คํ์ผ๋ ํด๋น ๊ฒ์ํ์ ์๋ํฐ์๋ ์ฌ์ง์ ์ฌ๋ฆฌ๋ ๊ธฐ๋ฅ์์ฒด๊ฐ ์์ด์ก๋ค. ์ด๋ ํน์ ๋ฒ์ ๋ถํฐ ๋ณด์์ด์๋ก ์ธํ์ฌ ์์ด์ก๋ค๊ณ ํ๋ค.
๊ทธ๋์ ๊ฒฐ๊ณผ์ ์ผ๋ก ์๊ฐํ๋ค๊ฐ ํ๊ฐ์ง ๋ฐฉ๋ฒ์ผ๋ก XSS๋ฅผ ์ฑ๊ณต ์์ผฐ๋ค.
๊ทธ ๋ฐฉ๋ฒ์ hyperlink๋ฅผ ์ด์ฉํ ๋ฐฉ๋ฒ์ด์๋ค. ํ์ดํผ๋งํฌ๋ฅผ ๊ฑธ๊ฒ ๋๋ฉด a href ํ๊ทธ๊ฐ ์คํ๋ ๊ฒ์ด๋ค. ์ด๋ a href=javascript:~~~ ์ด๋ฐ์์ผ๋ก ๊ตฌ๋ฌธ์ ๋ฃ์ผ๋ฉด ๋๋ค. ๋ฌผ๋ก ๊ทธ๋ฅ javascript๋ฅผ ์ฝ์ ํ๊ฒ ๋๋ฉด javascript๋ฌธ์์ด๋ง์ผ๋ก ํ์ง๋์ด ๋งํ๋ ๊ฒฝ์ฐ๊ฐ 99%๋ค. javascript์ ์ฐํ๋ฐฉ๋ฒ์ ์ฌ๋ฌ๋ฒ ์๋ํด๋ณด๋ฉด์ ์ฐพ์๋ณด๋ฉด ๋ ๋ฏํ๋ฉฐ ํด๋น ๊ธ์์๋ ์ค์ ๋ก ๊ณต๊ฒฉ์ด ๋จนํ๋ ํ์ด์ง๋ค๋ ์กด์ฌํ ๊ฒ๊ฐ์ ์ฐํํ๋ ๊ฒ์ ๋นผ๋๋ก ํ๊ฒ ๋ค.
๋๋ ์ทจ์ฝ์ ์ ์ฐพ๊ฑฐ๋ ์ ๊ฒ์ ํ ๋ ์๋ฌด๋ฐ ์ทจ์ฝ์ ์ด ์์ผ๋ฉด ๊ทธ๋ฅ ๋ฉํ๋ ํํ์ด์ง๋ฅผ ๋ฐ๋ผ๋ณด๊ณ ์๋ ์ต๊ด์ด ์๋ค. ๊ทธ๋ฌ๋ค๋ณด๋ฉด ์ฅ? ํ๋ฉด์ ๊ฐ๋ ๋ ์ค๋ฅผ๋๊ฐ ์๋๋ฐ ๊ทธ๋ฌ๋ฉด์ ํ๋์ฉ ํ๋์ฉ ์ฐพ์๊ฐ๋ ๊ฒ๊ฐ๋ค.
๋จ๋ค์ด ๋ณด๋ฉด ์ด๋ ต์ง์์ ๊ตฌ๋ฌธ์ด๊ณ ๋ฐฉ๋ฒ์ผ์ ์์ง๋ง ๊ณต๊ฒฉ์ด ๊ฐ๋ฅํ ํ์ด์ง๋ผ๋ฉด ์ฌ์ฐ๋ฉด์ ํฌ๋ฆฌํฐ์ปฌํ ์ทจ์ฝ์ ์ด ์๋๊น ์๊ฐํด๋ณธ๋ค.
'Security Study > Web' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
์ทจ์ฝ์ ์ ๊ฒํ๋ค๊ฐ ์ ๊ธฐ๋ฐฉ๊ธฐํ ๊ฒ์ ๋ณด์๋ค.!!!! (0) | 2023.10.09 |
---|---|
HTTP Method ๊ด๋ จํ์ฌ ์์๊ฐ๋ ๊ฒ (0) | 2023.08.09 |
Web ์ทจ์ฝ์ ๊ด๋ จ ๋ด์ฉ ์ ๋ฆฌ (0) | 2023.03.10 |
์ด์ฉ๋ค๋ณด๋ Stored XSS์ ๋ํ์ฌ... (0) | 2023.02.14 |
owasp zap tutorial :) (0) | 2016.12.27 |
๋๊ธ