Simple is IT, 누구나 보고 누구나 깨닫는 IT

CSRF(Cross Site Request Forgery) ? : 스크립트를 이용해 게시글을 조회하는 사용자의 권한으로 사용자가 원하지 않던 작업을 수행 'form_test'라는 form tag로 이동해 작업을 수행한다. 작업 내용 : 게시글을 작성하는 페이지로 넘어가 값들을 작성하고 등록함. example seanario 관리자가 공지를 등록했다. 진짜 쉬고싶은 해커가 쉬는 기간을 늘리고 싶어 위와 같은 게시물을 작성했다. 이제 관리자가 해당 게시글을 클릭하게되면, 아래 내용과 같이 수정이 된다. 예방법 '(꺽새)' 형식의 텍스트를 치환한다. -> 사용자에게 보여지는 ''형식을 코드에서 동작하지 않는 '&lt'로 치환.(사용자에게는 정상적으로 보임)

XSS(Cross Site Scripting) ?DB에 저장되는 곳 중 입력 값으로 웹 상에서 동작할 수 있는 스크립트 코드를 삽입하는 공격​ex) 입력 데이터에 삽입 -> 데이터 조회 시 alert 창이 나타나면 성공이다. ​ 해당 내용 입력 후 게시글로 접속을 해보면​ 위와 같이 메세지 박스가 출력이 된다.​​ BeEF를 이용한 XSS BeEF : 웹 브라우저로 페이지를 읽을 때 JS 형태로 동작, 사용자 PC의 정보 수집, 메타 스플로잇 모듈을 이용한 광범위한 공격까지 가능한 도구 ​ ​ 설치) # git clone https://github.com/beefproject/beef # cd beef # ./install ​ 설치가 완료되면 아래와 같이 완료가 되었다는 텍스트가 출력이 되는데, 실행하기..