검색 본문
gfnews.tistory.com good friend searchTerms 이란 뜻 정의 개념 searchTerms 이란 뜻 정의 개념 최근 주목 받고 있는 'searchTerms'에 대한 다양한 뉴스 기사가 쏟아지고 있습니다. 'searchTerms'란 무엇인지 간략히 소개하고, 이 이슈의 중요성을 강조하겠습니다. 여러 언론사가 'searchTerms'에 관련된 다양한 측면에서 기사를 제공하고 있는 상황입니다. 이는 'searchTerms'에 대한... searchTerms sharepointsearchsearchterms 2023.08.20 블로그 검색 더보기 namu.wiki Mod Menu - 나무위키 마인크래프트의 모드. 버전 1.14.4 ~ 1.20.4 모드로더 패브릭 개요 특징 둘러보기 2024.02.22 웹문서 검색 더보기 sheow13.tistory.com 정보보안 Study 11. XSS(크로스 사이트 스크립팅) 취약점 ■ 사전 지식 □ 크로스사이트 스크립팅란? - 크로스사이트 스크립팅(XSS)이란, Cross('서로 만남, 교차), Site(웹 페이지), Scripting(일종의 명령어)로 이 문자를 합치면, 스크립트가 실행되면서 어떤 웹 사이트에서 다른 웹사이트로 가로 지른다라는 뜻이다. - XSS는 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 사용자의 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격 또는 악성 사이트로 이동시키는 등의 행위를 수행할 수 있다. □ HTML 태그란? - HTML은 Hypertext Markup Languag ■ XSS Cheat Sheat 예시 <SCRIPT SRC=http://xss.rocks/xss.js></SCRIPT> javascript:/*--></title></style></textarea></script></xmp> <svg/onload='+/"/+/onmouseover=1/+/[*/[]/+alert(document.cookie)//'> <IMG SRC="javascript:alert('XSS');"> <IMG SRC=javascript:alert('XSS')> <IMG SRC=JaVaScRiPt:alert('XSS')> ■ XSS 실습 환경 - Kali Linux - Bee Box - Portswigger Web Academy ■ XSS 실습1 [Reflected - 난이도 하] Step 1) XSS – Reflected(GET) 으로 이동 후, 해당 입력란에 XSS 취약점이 있는지 확인하기 위해 스크립트 구문인 ‘<script>alert(’xss test’)</script>' 입력 시, 스크립트 정상 동작 확인 [입력란에 XSS 구문 삽입] [스크립트 동작 확인] ■ XSS 실습2 [Reflected - 난이도 중] Step 1) XSS – Reflected(GET) 으로 이동 후, 해당 입력란에 XSS 취약점이 있는지 확인하기 위해 스크립트 구문인 ‘<script>alert(’xss test’)</script>' 입력 시, 스크립트 동작하지 않는 것을 확인 [스크립트 삽입 시 동작하지 않으며, 문자만 서버로 입력받은 것으로 확인] Step 2) 입력한 스크립트 구문이 어떻게 필터링 되고 있는지 확인하기 위해 해당 소스코드 페이지인 ‘xss_get.php’ 확인 시, ‘xss_check_4’ 함수가 동작하고 있으며, addslashes라는 함수 ■ XSS 실습3 [Stored - 난이도 하] Step 1) XSS–Stored(Blog)으로 이동 후, 해당 입력란에 XSS 취약점이 있는지 확인하기 위해 스크립트 구문인 ‘<script>alert(’xss test’)</script>'입력 시, 스크립트 정상 동작 확인 및 웹서버에 저장되는 Stored 방식이므로 해당 게시물에 접근할 때마다 스크립트가 실행되는 것을 확인 [게시글에 악성 스크립트 삽입 시도] [스크립트 정상 동작 확인] ■ XSS 실습4 [Stored - 난이도 중] Step 1) 난이도 중간으로 설정 후 스크립트 구문인 ‘<script>alert(’xss test’)</script> 입력 시, 스크립트 동작하지 않는 것으로 확인하여 입력한 스크립트 구문이 어떻게 필터링 되고 있는지 확인하기 위해 해당 소스코드 페이지인 ‘xss_stored_1.php’ 확인 시, ‘xss_check_4’ 함수가 동작하고 있으며, addslashes라는 함수로 싱글쿼터(‘), 더블쿼터(“), 백슬래쉬(\), null 문자를 이스케이프 처리하여 실행이 되지 않도록 방어하고 있는 것을 확인 ['xss_check_4' ■ XSS 실습5 [DOM XSS] Step 1) PortSwigger Web Academy에 XSS Lab 접근. 해당 LAB은 Javascript의 document.write 함수를 사용하고 있는 것으로 확인. Javascript에 XSS 공격을 수행하여 alert 함수를 사용하는 것이 목표. [PortSwigger Web Academy XSS LAB으로 이동] Step 2) 검색어 입력하는 란에 Javascript를 사용하여 사용자로부터 입력받은 Query문을 'document.write()' 함수에 삽입하여 이미지 태그를 생성하는 것으로 확인 [검색란을 개발자 ■ XSS 실습6 [DOM XSS] Step 1) PortSwigger Web Academy에 XSS Lab 접근. 해당 LAB은 Javascript의 document.write 함수를 사용하고 있는 것으로 확인. Javascript에 XSS 공격을 수행하여 alert 함수를 사용하는 것이 목표. [PortSwigger Web Academy XSS LAB으로 이동] Step 2) 페이지 내 제고 체크하는 버튼 클릭 시, 파라미터 중 하나인 'productId'를 document.write함수를 통해 출력하는 것을 확인할 수 있었으며, 요청값에는 'productId'를 ■ XSS 실습7 [XSS를 통해 쿠키 탈취] - 해당 실습은 하기 링크 참조 https://sheow13.tistory.com/62 XSS 쿠키 재사용 공격 ■ 개요 - XSS 공격을 통해 희생자의 쿠키값을 탈취하여 희생자의 계정 정보를 알지 못하여도 접근 가능한 공격 - 공격자가 XSS 취약점을 이용하여 많이 수행하는 공격 방식으로, 공격자 서버에 악 sheow13.tistory.com ■ 크로스사이트 스크립팅 점검 방법 ① 수동 점검 - 웹사이트의 사용자 인수 값을 입력받은 애플리케이션에 XSS Cheat Sheet 입력 후, XSS 취약 여부 확인 ② 자동화 도구를 통한 점검 - 자동화 도구(Ex, Burp Suite Pro, Acunetix 등)를 사용하여 점검하고자 하는 사이트에 XSS 취약 여부 점검 - 아래 예시는 Burp Suite Pro에서 제공하는 Active Scan을 예시로 들었으며, 자세한 사항은 하기 링크 참조 ■ 대응 방안 1. 시큐어코딩을 통해 특수문자 이스케이프 처리 import subprocess from django.shortcuts import render def execute_command(request): date = request.POST.get(‘date’,“) # 명령어를 추가로 실행 또는 또 다른 명령이 실행될 수 있는 키워드에 대한 예외처리 for word in [‘|’, ‘;’, ‘&’, ‘:’, ‘>’, ‘<’, ‘“, ’\\’, ‘!’]: date = dat 26 □ 크로스사이트 스크립팅란? - 크로스사이트 스크립팅(XSS)이란, Cross('서로 만남, 교차), Site(웹 페이지), Scripting(일종의 명령어)로 이 문자를 합치면, 스크립트가 실행되면서 어떤 웹 사이트에서 다른 웹사이트로 가로 지른다라는 뜻이다. - XSS는 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 사용자의 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격 또는 악성 사이트로 이동시키는 등의 행위를 수행할 수 있다. □ HTML 태그란? - HTML은 Hypertext Markup Languag XSS stored xss reflected xss xss 대응방안 bee box xss DOM XSS 2023.12.04 sleepyeyes3125.tistory.com 허접이의 보안개발 블로그 PortSwigger Academy Cross-site scripting Lab 3 5 더보기 query에 들어가는 값을 스크립트로 작성하여 document.write로 실행시키도록 작성하였다. 먼저 ">를 하여 <img src="/resources/images/tracker.gif?searchTerms=">로 막고 스크립트를 입력하였다 그리고 옆쪽에 띄어져 있는 ">를 막기위해서 <"로 연결하여 <"">로 연결하였다. 스크립트를 입력하여 문제를... 2024.02.26 blog.limcm.kr 페푸리의 Office Server 이야기 [MC692463](Updated) Microsoft Purview Insider Risk Management: General availability of SharePoint site selection enhancement enhancement. This message is associated with Microsoft 365 Roadmap ID 169880 (https://www.microsoft.com/microsoft-365/roadmap?filters=&searchterms=169880) [When this will happen:] Rollout will begin mid-January 2024 (previously late November) and is expected to be complete by early February 2024... nsider Risk Management SharePoint site selection MC692463 2024.01.27 kaminik.tistory.com 다다 [Templater] 검색결과를 링크목록으로 만들기 3 app.workspace.getLeavesOfType('search')[0]?.view; if (!searchView) { new Notice('검색 창을 찾을 수 없습니다', 2000); return; } const searchTerms = searchView.getQuery(); const searchResults = searchView.dom.getFiles(); if (!searchResults.length) { new Notice('검색 결과가 없습니다', 2000); return... 옵시디언 Obsidian templater 2024.01.24 통합웹 더보기
Search Terms, keywords, SEO and SEM www.searchterms.com 웹수집 A blog about search Terms, keywords, SEO, SEM, local search, analytics, social media
서비스 안내 Melon Company가 운영하는 음악 서비스입니다. 다른 사이트 더보기 Step 5 - Know Your Terms 1: The Application For Employment Donald L. Wilkes/Viola Hamilton-Wilkes 앨범 Teen Guide ... 2008.01.01. Step 7 - Know Your Terms 2: The Interview Donald L. Wilkes/Viola Hamilton-Wilkes 앨범 Teen Guide ... 2008.01.01.