XSS 취약점을 이용한 웹메일 해킹 2006.08.21 http://www.netlab.co.kr.

Slides:



Advertisements
Similar presentations
월간 사이버보안 소식 경기교육사이버안전센터 (GECSC) 월호 경기도교육정보기록원.
Advertisements

UX, RIA, 그리고 … Silverlight 공도소프트
임직원 APP 설치 가이드 경영전략처 정보기획 TF 팀. 임직원 App- 운영체제 구분  안드로이드 갤럭시, 갤럭시노트, 갤럭시 S4 [ 삼성전자 ] 옵티머스 [LG 전자 ] 베가 [ 팬텍 모토로이 [ 모토롤라 ]  ios 아이폰 [ 애플.
국내 인터넷 주요 이슈 연혁 (1995 ~ 2005). 2 ~ 웹 메일, 커뮤니티의 씨앗이 심어지던 시기, 아바타 수익모델의 등장 국내 포탈 업계 연도별 주요 이슈 (~ 2000) 다음커뮤니케이션 설립
지하철 안내 앱 소개 제작자 : 손성준 P.S 이 사진은 내용과 관계없음을 명백히 알립니다.( 솔직히 전기동차라는 공통점이 있긴 하지만 ) 그리고 본인이 촬영하였음을 알립니다.
인터넷으로 얻을 수 있는 정보들은 참으로 많습니다. 이러한 정보를 이용하기 위한 기본적인 방법을 알아보겠습니다.
Chapter 07 : 서블릿 고급2. chapter 07 : 서블릿 고급2 학습목표 세션 tracking hidden 태그 이용 encodeURL 메소드 사용법 URL 파라미터 이용 쿠키 이용 세션 이용 encodeURL 메소드 사용법.
ASP 뉴스그룹 발표자료 ActiveX 변경내용과 대처방안 ASP 뉴스그룹 발표자료
매출확인 스마트폰 어플 37. 본인이 자기매출을 볼 수 있는 매출확인 스마트폰 어플 입니다.
Snort and suricata 발표자 : 이경문.
jQuery Mobile을 이해하기 전에 jQuery가 무엇인지 알아야 한다.
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
Ⅰ. 클라이언트 스크립트 Ⅱ. 서버 스크립트 그렇다면 프로그래밍 언어를 수행하는 컴퓨터의 개념적인 구조를 살펴 본다면, 프로그래밍 언어가 무엇인지 이해하는데 도움이 될 것입니다. 현재 컴퓨터 구조의 모태가 되고 있는 폰 노이만 구조는 그림에서 보는 것과 같이, 명령어와.
초기화면 전 자 우 편 (2) Ⅳ. 컴퓨터와 생활> 2. 인터넷의 활용> 기술·가정 2학년 2학기
5강. Servlet 본격적으로 살펴보기-I 프로젝트 만들기 doGet() doPost()
SSL - VPN 사용자 가이드 - IT 지원실 네트워크 운영팀 -.
Web Service Computing and Practice_
3조 오세혁 김문환 김용현.
PHP입문 Izayoi 김조흔.
스크립트 SWF 파일 Exploit Drive by Download 분석.
5장 XSS(cross site script)
발표자 : 손충호 조원 : 유진우, 노유성, 조사랑, 손충호
Chapter 04 IP 주소 추적.
JSP Programming with a Workbook
11장. 포인터 01_ 포인터의 기본 02_ 포인터와 Const.
Internet Explorer 8,9,10,11 브라우저를 통한 VPN 접속가이드
① 모든 인터넷 브라우저를 닫는다 ② uninstall_flash_player.exe 실행하여 flash player 삭제한다
학습목표 학습목차 다른 홈페이지의 HTML 파일 코드를 보는 방법에 대해 알아봅니다.
Snort and suricata 발표자 : 이경문.
제 01 장 인터넷 프로그래밍 개요 학기 인터넷비즈니스과 강 환수 교수.
스크래치 언어 이해 스크래치 이용법 습득 고양이가 말을 하며 움직이는 예제 작성
M.A. (Math Architect) 강나래 강예주 전지영
식품영양조리과 S 홍길자 제출자: 식품영양조리과 학번:S 이름: 홍길자
2.청소년기의 심리적·사회적 발달 (2) 가족관계와 의사소통 ICT활용 교수학습 과정안 기술가정 중학교 1학년 수업계획
10강. JSP 본격적으로 살펴보기-II 스크립트릿, 선언, 표현식 지시자 주석 Lecturer Kim Myoung-Ho
자바응용.
1. SSLVPN 접속 방법 Internet Explorer 실행(타 브라우저 사용 불가)
1. SSLVPN 접속 방법 Internet Explorer 실행(타 브라우저 사용 불가)
2018년 11월 05일 박성진 Web & Internet [08] 레이아웃 P1 2018년 11월 05일 박성진
시스템 접속환경 설정 인터넷 옵션 설정 익스플로러 상단 메뉴 에서 을 클릭하고, 아래 순서대로 설정합니다. 1. 탭에서 을 클릭하여 “페이지 열 때마다”를 체크하고 합니다. 2. 탭을 선택하고 하단의 에.
Wi-Fi 취약점 분석 본 프로젝트는 Wi-Fi 환경에서의 취약점 분석을 위한 프로젝트로 다양한 공격방법을 테스트
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
Day-27(Tue_10.16) 파일 서비스 설정 AD 가 설치된 환경에서 DHCP 설치 할 경우 권한 자격을 주어야함.
Nessus 4 설치 정보보호응용 조용준.
프로그래밍 원리 Chapter 05 자바스크립트 기초 신한대학교 IT융합공학부 박 호 균.
웹디자인
Windows XP 서비스 팩2를 설치하는 10가지 이유
MAIL CLIENT 김창우 윤성훈 이경재.
Chapter 34. Advanced Web Page Options
인천대학교 웹과 인터넷 수업 개요 및 내용 소개.
Software Engineering Project
14강. 세션 세션이란? 세션 문법 Lecturer Kim Myoung-Ho Nickname 블스
암호학 응용 Applied cryptography
Chapter08 JavaScript 시작하기
한국에너지공단 효율기술실 확인서 표시가 안될 시 조치방법 .
Viewing Advanced Web Pages
3장 JSP프로그래밍의 개요 이장에서 배울 내용 : JSP페이지의 기본적인 개요설명과 JSP페이지의 처리과정 그리고 웹 어플리케이션의 구조에 대해서 학습한다.
Chapter01 HTML 시작하기
2018년 11월 12일 박성진 Web & Internet [09] 레이아웃 P2 2018년 11월 12일 박성진
웹 사이트 분석과 설계 [디자인 리서치] 학번: 이름 : 홍지애.
발표자 : 이지연 Programming Systems Lab.
9 브라우저 객체 모델.
슬라이드 쇼의 설정 슬라이드 쇼의 실행 파일과 폴더의 관리 글꼴을 포함해서 저장 웹 페이지로 게시 압축 파일
Chapter01 HTML 시작하기
CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점
방승욱 여은수 민세훈 해킹.
Windows XP 서비스 팩2를 설치하는 10가지 이유
7 생성자 함수.
AJAX? Cho Hyun Min.
20 XMLHttpRequest.
Presentation transcript:

XSS 취약점을 이용한 웹메일 해킹 2006.08.21 http://www.netlab.co.kr

XSS란 무엇인가? XSS(Cross-site Scripting)의 약자로 공격자(Attacker)가 원하는 악성 스크립트 코드를 희생자(Victim)에게 실행되도록 하는 해킹 기법을 말한다.

XSS를 위해 어떤 것들이 사용되나? JavaScript VBScript XML/XSL DHTML Flash ActiveX

XSS, Cookie를 이용한 웹메일 해킹 예제 Server(웹서버) (1) (2) (3) 공격자(Attacker) 희생자(Victim) 공격자가 희생자에게 악성 코드를 포함한 웹메일을 보낸다. 나중에 희생자는 공격자가 보낸 메일을 확인하게 된다. 희생자가 메일을 보는 즉시 희생자로부터 공격자에게 Cookie 정보가 넘어 간다. 공격자는 수신된 Cookie 정보를 이용하여 악의적인 행위를 취할 수 있다.

XSS에 대해 국내 사이트의 대처 상황 X : XSS 취약점을 가지고 있으며 웹메일 해킹이 쉽게 됨. 주소 대처 네이버 www.naver.com X 네이트 www.nate.com ? 다음 www.daum.net O 야후코리아 www.yahoo.co.kr 엠파스 www.empas.com 파란닷컴 www.paran.com 드림위즈 www.dreamwiz.com 하나포스 www.hanafos.com MSN www.msn.co.kr 프리챌 www.freechal.com CHOL www.chol.com 코리아닷컴 www.korea.com X : XSS 취약점을 가지고 있으며 웹메일 해킹이 쉽게 됨. ? : XSS 취약점을 가지고 있으나 웹메일 해킹은 확인이 안됨. O : XSS 취약점을 보안하였으며, Cookie 정보 누설을 막아 놓았음.

XSS 대처 방법 웹페이지가 열리는 순간 ActiveX, Flash 등의 파일이 곧바로 실행되지 않도록 한다(보편적인 방법임). 악성 XSS 코드를 포함하는 객체가 웹브라우저에서 수행이 되지 않도록 HTML의 Tag를 수정한다(보편적인 방법임). ActiveX, Flash 등의 해당 파일에서 악성 XSS 코드를 가지고 있는지 검사한다(전용 Decompiler가 있어야 함). HTTP-only cookies를 사용한다(Cookie의 일부 누설만 막을 수 있으며 최근 웹브라우저에서만 적용됨). ps : XSS를 100% 대처하는 것은 쉬운일이 아니다.

감사합니다. 제작자 : 이경문 메일 : gilgil1973@hanmail.net MSN : gilgil1973@hotmail.com 홈페이지 : http://www.gilgil.co.kr 휴대폰 : 011-9725-8908