-
XSS#02. 기존공부/#02.3 웹해킹 2019. 3. 29. 14:19
XSS(Cross-Site Scripting)이라 불린다.
CSS라고 불러야 하지만 이미 CSS라는 단어를 선점하고 있기에 XSS라고 명칭을 변경하였다.
OWASP Top 10에 계속 이름을 올릴정도로 유명하지만 공격 벡터가 워낙 다양하여 막기가 쉽지 않은 공격이다.
Cookie, CSS 등 사용자가 조작할 수 있는 모든 값이 공격 벡터로 작동한다.
URL 인코딩, %00, concat, String.fromCharCode(), javascript:, HEX 변환
인코딩 방식에 따라 해당 인코딩을 활용하여 공격하는 것이 가능하다.
이벤트 핸들러를 이용하는 방법또한 존재한다.
img, iframe 등의 태그를 사용하는 방법 또한 존재한다.
(그러나 iframe의 경우 동일 출처 정책에 따라 외부 URL 및 도메인을 통한 DOM객체의 접근에 제한을 가지게 된다. )
너무 많다...
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
XSS Filter Evasion Cheat Sheet - OWASP
Last revision (mm/dd/yy): 02/23/2019 Introduction This article is focused on providing application security testing professionals with a guide to assist in Cross Site Scripting testing. The initial contents of this article were donated to OWASP by RSnake,
www.owasp.org
OWASP에서 제공하는 문서를 정독하자!
'#02. 기존공부 > #02.3 웹해킹' 카테고리의 다른 글
XSS challenge 풀이[1-10] (0) 2019.04.13 XSS-Game (0) 2019.04.12 DVWA 풀이 (0) 2019.03.12 root me 풀이 (0) 2019.03.12 VMware 포트포워딩/ SQL 복원/ SSL 서버 설치 (0) 2019.02.03 댓글