[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(40일차)

오늘 학습 주제

1. BeEF-XSS

2. Reflective XSS

 

 

 

 

 

BeEF-XSS

---

- BeEF-XSS -

웹 브라우저의 취약점을 이용하여 브라우저를 통한 공격을 수행하는 오픈 소스 보안 도구

 웹 브라우저를 통해 대상 사용자의 브라우저를 제어하고 다양한 공격을 실행 가능

사용자의 브라우저 및 환경 정보를 수집하여 분석

 

 

 

 

 

Reflective XSS

---

- Rreflective XSS 호출 -

공격자가 Reflective XSS 취약점을 가지고 있는 페이지를 호출하는 공격 문자열 생성

<a href="http://beebox/bWAPP/xss_get.php?firstname=aaa<script>console.log('a')</script>&lastname=bbb<script>console.log('b')</script>&form=submit">link</a>

 

공격자가 게시판에 공격 문자열을 추가하면

lucy 필터 로직으로 스크립트 태그와 <> 기호가 HTML 인코딩되어

공격 불가

 

공격 문자열을 단축 URL로 변경

(스크립트 코드가 포함되지 않게 변경됨)

단축 URL 서비스를 제공하는 사이트에 따라 스크립트 코드가 포함되면

이동이 불가능할 수도 있으니 공격자가 단축 URL 서비스를 제공

 

 

- Rreflective XSS 대응(개선) -

htmlentities, htmlspecialchars와 같은 검증된 함수, 라이브러리, 프레임워크를

이용해서 코드를 HTML 인코딩하여 일반 문자열로 출력