XSS2 38. 웹 모의해킹 실습 (5) : Weak Session IDs, XSS(DOM) Weak Session IDs 개념 사용자의 세션을 식별하는 데 사용되는 세션 ID가 예측 가능하거나, 세션 만료 기간이 공격하기 충분한 시간으로 설정되어 있어 안전하지 않은 경우, 공격자가 이를 탈취하여 인증된 사용자의 세션을 가로채서 해당 권한을 통해 악용하는 방식으로 공격이 이루어진다. 세션 ID란 서버가 사용자를 식별하고 인증 상태를 유지하기 위해 사용하는 고유한 값이다. 사용자가 로그인하면 서버는 세션 ID를 생성하고 이를 사용자의 브라우저(쿠키나 URL 파라미터)에 저장한다. 서버는 이후 요청에서 이 세션 ID를 확인하여 사용자를 식별하고 인증하는 형태이다. 실습(Low Level)아래는 Weak Session IDs 실습 페이지이다.‘Generate’ 버튼이 존재해서 해당 버튼을 클릭하.. 2024. 11. 18. 32. 침해대응&CERT (10) : 웹 취약점 실습_4 오늘 알아볼 취약점 중 크로스 사이트 스크립트(XSS) 취약점과 SQL Injection 취약점은 위험도가 높게 판정되는 취약점이면서 실무에서도 중요하게 다룬다. 크로스 사이트 스크립트(XSS) 취약점 정의 공격자가 페이지에 악의적인 스크립트를 삽입하여, 해당 페이지를 열람하는 사용자의 권한으로 해당 스크립트가 실행되어 사용자의 세션을 가로채거나, 피싱 공격, 정보 유출 등의 공격을 진행할 수 있는 취약점을 의미한다.일반 사용자들 입장에서는 신뢰할 수 있다고 생각하는 웹 사이트에 공격자가 악성 스크립트를 삽입하고, 해당 스크립트가 포함된 게시글을 열람하는 피해자들의 쿠키가 공격자에게 전송된다. 이를 통해 공격자는 피해자의 브라우저에서 스크립트를 실행하여 웹사이트 변조, 악성 콘텐츠 삽입 등의 .. 2024. 8. 21. 이전 1 다음
