크로스사이트 스크립트 예제

JavaScript 파일이 로드되면 스크립트는 base64 형식으로 데이터를 test.png 파일에 데이터를 쓰는 saveshot.php 파일로 보냅니다. test.png 파일을 열때 취약한 페이지의 화면 캡처를 볼 수 있습니다. 우리 대부분이 알다시피,이 공격은 주로 다른 사람의 쿠키를 수집하는 데 사용되며, 이는 다른 ID로 로그인하는 데 사용할 수 있습니다. 가능한 쿠키 도난으로 가능한 XSS 스크립트의 또 다른 예를 분석해 보겠습니다. 예제에서 보여 주는 것처럼 XSS 취약점은 HTTP 응답에서 유효성이 검사되지 않은 데이터를 포함하는 코드로 인해 발생합니다. XSS 공격이 피해자에게 도달할 수 있는 세 가지 벡터가 있습니다: 일부 브라우저에서는 태그의 형식 특성이 이미지로 설정된 경우 스크립트를 포함하도록 조작할 수 있습니다. 크로스 사이트 스크립팅(XSS라고도 함)은 가장 일반적인 응용 프로그램 계층 웹 공격 중 하나입니다. XSS 취약점은 서버 측이 아닌 클라이언트 측(사용자의 웹 브라우저)에서 실행되는 페이지에 포함된 대상 스크립트입니다. XSS 자체는 HTML 및 JavaScript와 같은 클라이언트 쪽 스크립팅 언어의 인터넷 보안 약점에 의해 초래되는 위협입니다. XSS의 개념은 악의적인 사용자가 원하는 방식으로 실행하도록 웹 응용 프로그램의 클라이언트 측 스크립트를 조작하는 것입니다.

이러한 조작은 페이지가 로드될 때마다 또는 연결된 이벤트가 수행될 때마다 실행할 수 있는 스크립트를 페이지에 포함할 수 있습니다. 성공적인 교차 사이트 스크립팅 공격은 온라인 비즈니스의 평판과 고객과의 관계에 치명적인 결과를 초래할 수 있습니다. 일부 브라우저 또는 브라우저 플러그인은 도메인단위로 클라이언트 쪽 스크립트를 사용하지 않도록 구성할 수 있습니다. 이 방법은 사용자가 잘못된 사이트(너무 늦었다는 것을 알고 있는 경우에만)를 차단하기 때문에 기본적으로 스크립팅이 허용되는 경우 제한된 값입니다. 기본적으로 모든 스크립팅 및 외부 포함을 차단한 다음 사용자가 도메인별로 사용하도록 설정할 수 있는 기능이 더 효과적입니다. 이것은 인터넷 익스플로러에서 오랜 시간 동안 가능 했다 (버전 이후 4) 그것의 소위 설정 하 여 „보안 영역“,[35] 그리고 오페라에서 (버전 이후 9) 사용 하 여 „사이트 특정 환경 설정“. [36] 파이어 폭스와 다른 Gecko 기반 브라우저에 대 한 솔루션은 오픈 소스 NoScript 추가 기능, 도메인 단위로 스크립트를 사용 하는 기능 뿐만 아니라, 스크립트가 활성화 된 경우에 일부 XSS 보호를 제공 합니다. [37] 따라서 악성 스크립트는 피해자의 브라우저에서 실행되거나 가짜 양식이 사용자를 위해 표시되고있다. XSS 공격이 발생할 수 있는 몇 가지 형태가 있습니다.

Modern[43] CSP 정책을 사용하면 nonces[44]를 사용하여 정책을 페이지 내용과 완전히 분리하는 대신 HTML 문서의 스크립트를 안전하게 실행할 수 있습니다. 신뢰할 수 있는 nonces가 신뢰할 수 있는 스크립트에만 표시되는 한 브라우저는 신뢰할 수 없는 작성자의 프로그램을 실행하지 않습니다. 일부 대규모 응용 프로그램 공급자는 nonce 기반 정책을 성공적으로 배포한 것으로 보고합니다[45][46].

Kommentieren ist momentan nicht möglich.

Heimleiterin:
Frau Dumke

Seeallee 3
15299 Müllrose

Tel.: 033606 / 70284
Fax: 033606 / 70285

E-Mail:
kindernester@arcor.de

» 크로스사이트 스크립트 예제
» 파이썬 쉬운 예제
» 마운트 예제
» 리눅스 opencv 예제
» 메이븐 프로젝트 예제

© 2015 by Kindernester Schlaubetal e.V. | Hosted by RB Media Group GmbH | Kontakt | Impressum