해킹 관련 질문입니다.
본문
게시판 글을 클릭만으로도 해킹될 수 있나요?
게시글에는 글 외에 어떤 자료물은 없어 보입니다.
답변 3
가능합니다.
크로스사이트스크립팅이라고 XSS라고 하는데요.
게시글에 세션이나 쿠키를 확인할수 있는 소스를 작성하고 정보를 자기한테 보내도록하면 다른사람이 그 게시글을 읽었을때 자신에게 해당되는 세션이나 쿠키값을 해당글 작성자가 작성해둔 곳으로 보낼수 있어요.
이것도 XSS의 한가지 방식일 뿐이고요. 자세한 내용은 개발보안가이드, 웹보안가이드 이렇게 구글링하셔서 확인해보시고 처리되어있는지 확인하시는게 좋아요.
그누보드는 되어있구요. /bbs/write_update.php에 게시글 작성시 clean_xss_tags 라고요.
게시물을 출력하는 페이지에 악성코드를 넣었다면 가능한 일입니다.
CSRF 가능합니다.
뭐 여러가지 이슈중에 나열해보자면
해당 게시판에 script 가 제공되어 진다면 1차적으로 관리자의 session 을 탈취 할 수 있는 원시적인 방법이 있구요
다른 방식으로는 취약한 공격을 할 수 있는 (루트킷) 파일의 확장자를 jpg 등으로 해서 업로드 후 서버에 루트킷을 설치 하는 방법도 있고 (웹쉘이라고 하던가요..) CSRF에 관련해서 취약점으로 공격한다면 가능합니다.
답변을 작성하시기 전에 로그인 해주세요.
