안녕하세요 빵끗이에요
오늘은 XSS 공격을 이용한 웹사이트 변조 해킹 시나리오를 만들어 볼게요
해킹 시나리오를 만들 때에는 아래와 같이 주의사항이 있어요
1) 해킹은 실제 사용 중인 사이트를 공격하게 되면 법적인 문제가 발생될 수 있어요. 때문에 테스트를 진행할 경우 테스트 환경을 구성해야 돼요.
2) 취약점 스캔 툴을 돌릴 경우 의미 없는 데이터 값이 db에 등록될 수 있어요.
이제 주의사항까지 알아봤다면 해킹 시나리오 시작해 볼까요?
XSS이란?
공격자가 웹 사이트에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹사이트를 변조, 악의적 콘텐츠를 삽입, 피싱 공격을 진행하는 것을 말해요 XSS 공격은 스크립트 언어와 취약한 코드를 공격 대상으로 해요
첫 번째 XSS 공격하기 위해서는 테스트용 웹 서버 및 공격용 서버를 구축해야 돼요.
ㄴ 작성자는 이미 만들어 놓은 테스트용 웹 서버가 있어요
ㄴ 웹 테스트 서버 OS: 우분투 22.04
ㄴ 웹 서버 : nginx1.80/ mariadb 15.2 / php 8.1
ㄴ 웹 보드 : wordpress
ㄴ 공격자 테스트 서버 OS : 칼리
두 번째 owasp-zap tools을 이용하여 xss 취약점이 있는지 확인해요
ㄴ아무런 xss 취약점이 발견되지 않을 경우 수동 점검을 통해서 취약점 찾아야 돼요
ㄴ 게시판에 XSS 공격 문을 이용하여 script 가 정상적으로 인식하게 되는지 확인
| 제목 : <script>document.write(1)</script> 본문 : <script>document.write(2)</script> |
ㄴ 제목이 1로 찍히게 되면 자바 스크립트가 실행되었다는 의미예요
ㄴ 즉 서버의 게시판 저장소에 XSSXSS 공격이 가능하며 저장형 XSS 취약점이 존재하는 것 을 알 수 있어요
 |
세 번째 XSS 공격 공격을 이용한 웹사이트 변조하기 위해서 게시판 본문 내용에 script문을 등록하여 강제로 페이지 이동시킬게요.
ㄴ 제목에 아래 스크립트 문을 입력한 뒤 저장을 해요
| <script>document.location=“http://google.co.kr”; |
 |
네 번째 업로드된 게시글을 클릭하게 되면 구글 홈페이지로 이동되는 것을 확인할 수 있어요
참 쉽게 xss 공격 성공했어요!!!!!
댓글