wonder
정보보안 스터디 - 13주차 6일 - Reflected XSS 활용 본문
☞ Reflected XSS > 글작성
만약 시스템이 취약해서 post메소드로 비밀번호 변경, 글 작성 등이 가능하다면
reflected XSS를 발견해도 CSRF가 가능하다는 점을 잊으면 안됩니다.
일단 body encoding으로 변경하여 띄워쓰기 상관없이 자유롭게 작성한 뒤
GET 방식으로 바꿔줍니다. 아주쉽게 URL 형식을 맞출 수 있고, 글이 작성됩니다.
그러므로 Reflected XSS도 링크에 대해서 충분히 조심해야합니다.
☞ Reflected XSS > CSRF
그말은 즉 Reflected XSS로 CSRF도 가능하다는 말입니다.
세션을 탈취하는 csrf 코드를 제작합니다.
링크를 클릭했을 때 처음에는 취약점페이지로 들어가지만
세션을 탈취하는 팝업창을 열고 2초 후에 닫으면서 메인페이지로 이동합니다.
그러면 피해자는 크게 눈치채지 못하고 메인페이지에 별거 아닌가보다 하면서 안도감을 느낍니다.
아주 작게 뜨기 때문에 일반인이라면 광고인가보다 할 것입니다.
'hacking study > 모의 해킹 프로젝트' 카테고리의 다른 글
| 정보보안 스터디 - 15주차 1일 - 모의해킹 결과 보고서 리뷰과정 (0) | 2023.01.20 |
|---|---|
| 정보보안 스터디 - 14주차 1일 - 보고서 작성시 유의사항 (0) | 2023.01.13 |
| 정보보안 스터디 - 13주차 7일 - 웹쉘 업로드 취약점 (0) | 2023.01.12 |
| 정보보안 스터디 - 13주차 4일 - 주통기반 취약점 분석 28항목 연구 (0) | 2023.01.09 |
| 정보보안 스터디 - 13주차 1일 - 모의해킹 업무 체크리스트 (0) | 2023.01.06 |
'hacking study/모의 해킹 프로젝트' Related Articles
more
Comments