Download presentation
Presentation is loading. Please wait.
1
XSS 취약점을 이용한 웹메일 해킹
2
XSS란 무엇인가? XSS(Cross-site Scripting)의 약자로 공격자(Attacker)가 원하는 악성 스크립트 코드를 희생자(Victim)에게 실행되도록 하는 해킹 기법을 말한다.
3
XSS를 위해 어떤 것들이 사용되나? JavaScript VBScript XML/XSL DHTML Flash ActiveX
4
XSS, Cookie를 이용한 웹메일 해킹 예제
Server(웹서버) (1) (2) (3) 공격자(Attacker) 희생자(Victim) 공격자가 희생자에게 악성 코드를 포함한 웹메일을 보낸다. 나중에 희생자는 공격자가 보낸 메일을 확인하게 된다. 희생자가 메일을 보는 즉시 희생자로부터 공격자에게 Cookie 정보가 넘어 간다. 공격자는 수신된 Cookie 정보를 이용하여 악의적인 행위를 취할 수 있다.
5
XSS에 대해 국내 사이트의 대처 상황 X : XSS 취약점을 가지고 있으며 웹메일 해킹이 쉽게 됨.
주소 대처 네이버 X 네이트 ? 다음 O 야후코리아 엠파스 파란닷컴 드림위즈 하나포스 MSN 프리챌 CHOL 코리아닷컴 X : XSS 취약점을 가지고 있으며 웹메일 해킹이 쉽게 됨. ? : XSS 취약점을 가지고 있으나 웹메일 해킹은 확인이 안됨. O : XSS 취약점을 보안하였으며, Cookie 정보 누설을 막아 놓았음.
6
XSS 대처 방법 웹페이지가 열리는 순간 ActiveX, Flash 등의 파일이 곧바로 실행되지 않도록 한다(보편적인 방법임). 악성 XSS 코드를 포함하는 객체가 웹브라우저에서 수행이 되지 않도록 HTML의 Tag를 수정한다(보편적인 방법임). ActiveX, Flash 등의 해당 파일에서 악성 XSS 코드를 가지고 있는지 검사한다(전용 Decompiler가 있어야 함). HTTP-only cookies를 사용한다(Cookie의 일부 누설만 막을 수 있으며 최근 웹브라우저에서만 적용됨). ps : XSS를 100% 대처하는 것은 쉬운일이 아니다.
7
감사합니다. 제작자 : 이경문 메일 : MSN : 홈페이지 : 휴대폰 :
Similar presentations
![임직원 APP 설치 가이드 2013. 8. 경영전략처 정보기획 TF 팀. 임직원 App- 운영체제 구분 안드로이드 갤럭시, 갤럭시노트, 갤럭시 S4 [ 삼성전자 ] 옵티머스 [LG 전자 ] 베가 [ 팬텍 모토로이 [ 모토롤라 ] ios 아이폰 [ 애플.](/40/11046069/big_thumb.jpg "임직원 APP 설치 가이드 2013. 8. 경영전략처 정보기획 TF 팀. 임직원 App- 운영체제 구분 안드로이드 갤럭시, 갤럭시노트, 갤럭시 S4 [ 삼성전자 ] 옵티머스 [LG 전자 ] 베가 [ 팬텍 모토로이 [ 모토롤라 ] ios 아이폰 [ 애플.>")
