아마도 웹 해킹의 기초이지 않을까 하는 생각이 듭니다.

XSS 자체가 상당히 많이 알려진 취약점이라 실제로 사용되는 곳은 극히 드뭅니다. (Cookie 정보를 보기위해 사용됩니다만, Cookie를 훔쳐서 할 수 있는 일이 점점 줄어 들고 있습니다.)

많은 대책들이 나왔기 때문에 이런것도 있구나 라는 식으로 넘기셔도 될 것 같습니다.

XSS (Cross Site Scripting).pdf

'보안 기술 자료 (D:\) > D:\> WEB' 카테고리의 다른 글

디렉토리 리스팅 취약점을 이용한 게임db서버 해킹사례  (0) 2010.11.13
취약한 웹서버를 이용한 해킹 및 악성코드 삽입 사례  (0) 2010.10.13
OWASP 웹해킹 TOP 10  (0) 2010.08.21
SQL Injection  (0) 2010.07.05
XST(Cross Site Tracing)  (0) 2010.06.19

Trace HTTP Method 를 이용한 공격입니다. XST라 불리는 이 공격기법은 XSS와 매우 유사하기 때문에, XSS 하셨던 분들은 쉽게 배우실 수 있습니다.

쿠키 값을 따는데 주로 사용됩니다만, 요즘은 쿠키로 할 수 있는게 별로 없지요. 그런데 Trace 를 Allow 상태인 서버들이 OPTIONS Method 로 많이 있다는 것을 확인 할 수 있습니다.

많은 곳이 취약하다고 말 할 수 있겠네요.

WH-WhitePaper_XST_ebook.pdf



'보안 기술 자료 (D:\) > D:\> WEB' 카테고리의 다른 글

디렉토리 리스팅 취약점을 이용한 게임db서버 해킹사례  (0) 2010.11.13
취약한 웹서버를 이용한 해킹 및 악성코드 삽입 사례  (0) 2010.10.13
OWASP 웹해킹 TOP 10  (0) 2010.08.21
SQL Injection  (0) 2010.07.05
XSS(Cross-Site Scripting)  (0) 2010.06.22

DDoS 공격이 다시금 이루어 지려고 하나 봅니다.

기사 내용보면 공격할 사람을 모집한다고 유명 포털사이트에 올렸다는데, 그냥 디시인사이드가 2ch 사이트 공격했을 때 처럼 단순하게 이루어지지 않을까 싶습니다.

어쩌면 그냥 장난으로 올린 건데 과잉대응 하는 것일 수도 있겠지요.

국정원까지 나서는 것을 보면, 해당 사이트의 회원임을 가장해서 공격시간등 정보를 캐내려나 봅니다.

요즘은 GB DDoS 정도는 왠만하면 끄덕 없는 세상에, 얼마나 피해를 입을지가 가장 궁금하네요

http://www.dt.co.kr/contents.html?article_no=2010061502010260746002

'Security News (A:\) > A:\> Korean News' 카테고리의 다른 글

알씨, 압축파일 더블클릭 만으로도 악성코드 감염  (0) 2010.09.13
IE 점유율 하락, 이유는 속도와 보안?  (0) 2010.09.09
KISA, 정보보안 전문가 키운다  (0) 2010.06.10
국내 인터넷 겨냥한 대규모 DDoS 공격 발생!!  (0) 2010.06.03
SIS자격증 국가기술자격증 확정...법적 등록 절차 진행 중..  (0) 2010.05.27

+ Recent posts

티스토리툴바