- Code Injection은 불러온 웹 페이지에 Jacascript를 넣는 공격기법이다.
- 공격 대상자의 Web Browser에서 공격자가 원하는 Code가 실행된다.
- 특정 Link나 Image로 대체해버리거나, html 요소를 삽입하여 공격이 가능하다.
[JavaScript Code Injection 해보기]
1. Javascript 작성하기
- 간단한 경고 메시지 script를 작성한다.
- 웹 페이지에 접속하면 'javascript test' 라는 경고 메시지가 출력될 것이다.
2. Javascript 추가하기
- 실행할 hstshijack.cap 에 위에서 작성한 javascript를 추가한다.
,*:/root/alert.js
- ,(콤마) 뒤에 위와 같이 작성한다.
- payloads에 정상적으로 추가되었는지 확인하고 실행한다.
3. Javascript 삽입 공격 확인하기
- HTTP 웹사이트에서의 JavaScript Code Injection
[Linux] Kail (Bettercap) 로 ARP Spoofing 해보기
[Network] ARP Spoofing 알아보기 를 먼저 보고, 오시면 더욱 더 도움이 됩니다. [Network] ARP Spoofing 알아보기 중간자 공격(Man In the Middle) 중 하나인 ARP Spoofing에 대해 알아보자. 기본적인 ARP (Address Resolution
a-gyuuuu.tistory.com
- HTTPS 웹사이트에서의 JavaScript Code Injection
[Linux] HTTPS 웹사이트 우회하여 접속하기 [bettercap / hstshijack]
[Linux] HTTPS 웹사이트 우회하여 접속하기 [bettercap / hstshijack]
- HTTP는 평문으로 데이터를 주고 받는 프로토콜이다. - 따라서, 보안에 취약하기 때문에 HTTPS 프로토콜이 개발되었다. - HTTP 의 응용 계층과 TCP 전송 계층 사이에 SSL/TLS 의 보안 계층을 추가하여, HT
a-gyuuuu.tistory.com
- HSTS 웹 브라우저 우회에서의 JavaScript Code Injection
[Linux] HSTS 웹사이트 우회하여 접속하기
- HTTP Strict Tansport Security - Web Browser가 강제로 HTTPS 프로토콜을 사용하여 웹 사이트에 접속하는 기술이다. - 사용자는 HTTP로 접속하는지 HTTPS로 접속하는지 크게 상관하지 않는다. [접속만 되면 끝
a-gyuuuu.tistory.com
- 모두, 위에서 삽입한 script가 잘 실행되었다.
'IT > ㄴ Post-Connection Attack' 카테고리의 다른 글
| [Network] Kail (Bettercap) 로 DNS Spoofing 해보기 (0) | 2023.07.10 |
|---|---|
| [Network] DNS Spoofing 알아보기 (2) | 2023.07.10 |
| [Linux] HSTS 웹사이트 우회하여 접속하기 [bettercap / hstshijack] (0) | 2023.07.10 |
| [Linux] HTTPS 웹사이트 우회하여 접속하기 [bettercap / hstshijack] (0) | 2023.07.08 |
| [Linux] 포트 스캔 툴 zenmap 사용하기 [정보 수집 / 취약점 파악] (0) | 2023.07.07 |