XSS 썸네일형 리스트형 [정리] Solution - Google XSS Challenge 구글에서 간단한 XSS 문제를 만들어둔 것이 있어 풀어 보았다. 문제 난이도는 쉬운 수준이고 자바스크립트와 html 소스 코드만 볼줄 안다면 쉽게 풀 수 있어 초급자들이 XSS 연습을 하기에 적당한 것 같다. 문제 주소는 아래와 같으며, 풀이는 설명 없이 풀이 코드만 첨부한다. 문제 주소 : https://xss-game.appspot.com/ [풀이]Level 1 : https://xss-game.appspot.com/level1/frame?query=Level 2 : Level 3 : https://xss-game.appspot.com/level3/frame#1?num=123' onerror='alert("MaJ3stY")'>Level 4 : https://xss-game.appspot.com/lev.. 더보기 네이버 XSS 취약점 제보 기사 : http://www.dailysecu.com/news_view.php?article_id=2099 기사가 올라왔네요 ^^(기사 작성해주신 길민권 기자님 감사드립니다 ^^) 예전에 네이버 말고도 동일 취약점으로 네이트 이메일도 적용이 가능하다는 것을 포스팅 한 적이 있습니다. 아래 링크 참고 ! http://maj3sty.tistory.com/696 더보기 네이트 메일 XSS 취약점 네이트 메일에 XSS 취약점을 발견 했다. 그누보드 CSRF 취약점을 보고 급 관심이 생겨 이러저리 테스트 해보던 도중에 발견 하였다. 기본적으로 쿠키를 탈취해 다른 사용자로 임의로 로그인 할 수 있지만 네이트는 쿠키구조상 그렇게 되지 못하게 해두었다. 물론 연구하고 또 연구하면 풀릴 부분이지만 지금으로서는 쿠키로그인 말고 다른 악성코드등을 삽입하여 사용자 자체에게 피해를 주는 공격쪽이 더 어울리는 XSS 취약점이다. 더군다나 위 사진과 같이 메일 미리보기 서비스가 있어 최신글에 XSS 악성코드가 삽입되어 있다면 클릭하지 않아도 XSS 코드가 실행될 수 있다는 단점이 있어 더 주의가 요구 되는 부분이다. 더보기 위험한 상상? 돈과 직결된 엄청나게 위험한 상상을 해봤어요 tistory에 있는 xss 취약점을 이용해서 돈을 벌 수 있다는 상상을 해봤는데요. xss 취약점을 이용해서 구글광고 클릭을 하게 하는거에요 ㅎ 제가 찾은 취약점은 블로그에 들어오기만 해도 발생되는거니까 스크립트로 광고가 오픈되게끔만 해 두면 제 블로그에 들어오는 것만으로도 저는 수익을 얻게 되죠 ㅎ 간혹 이런 무서운 상상을 하곤 하는데 이런 상상을 제가 여기다 적어놓고 상상을 한다고 해서 실행하는건 절대 아니랍니다. ㅎ 그냥 상상일 뿐이죠 ㅎ 이 상상을 실현하시는 분은 절대 없을거라 보구요. 이 상상을 현실화 하시는분이 만약 이 상상으로 인해 해를 입는다고 하셔도 저와는 무관하다는 것을 일단 알려드립니다 ^^ 그럼 모두 더운데 수고하세요 ~ 더보기 이전 1 다음
