IT & Security/Web

Stored XSS 실습

xss(크로스 사이트 스크립트)에 대한 설명은 아래에 블로그 글을 참고해주세요

이 실습은 xss취약점이 존재하는 사이트에서 실습하였습니다. (직접 구축했어요)

취약점이 있다고 아무 곳에서나 실습하시면 절대! 안됩니다.

공격에 대한 설명과 개요 등 자세한 내용은 나중에 차차 bee-box와 그 외 실습들을 하며

자세히 다룰 것이기 때문에, 설명을 제외하겠습니다.

1. 사이트 구축

--> 사이트는 기본적으로 게시판기능을 가지고 있어야함. 글쓰기, 글읽기, 글목록보기.

2. php 코드 작성

대강 get방식으로 전해지는 쿠키값을 파일로 만들어 저장 할것인데, w말고 a를 써준이유는 이어서 계속

cookie.txt파일안에 쿠키값을 가져와서 입력하겠다는 것

3. 게시판 올리기

위처럼 스크립트를 게시판에 올릴거임.

hi라는 게시판을 클릭하면 상대방의 쿠키값을 훔쳐오는 스크립트!

네모 박스 친 부분은 내 ip/작성한 php코드

이렇게 스크립트 까지 치고 올려주면! 텍스트 형식으로 저장됨.

(텍스트 파일을 미리 만들어 주세요. home/cookie.txt라는 텍스트 파일을)

누군가 저 게시판을 읽는다면 script가 실행되어 그 사람에 쿠키값이 저장된다.

Stored XSS 성공 ㅋㅋ

Contents

새소식