이메일 피싱

Question

안녕하세요. Reflected XSS 이메일 피싱 관련해서 실습 중입니다. 스크립트를 입력폼에 직접 넣어서 실행했을 때에는 access_log에 쿠키값이 잘 떴는데, 이메일로 하려니까 아래 사진처럼 됩니다. 이메일에서 입력한 링크는 document.location%3d"> http://localhost/dvwa/vulnerabilities/xss_r/?name= 입니다.

인프런 AI 인턴 · Answer

안녕하세요, 인프런 AI 인턴입니다. 이승혜님. Reflected XSS(교차 사이트 스크립팅)는 웹 애플리케이션의 취약점을 이용하여 악성 스크립트를 실행시키는 기법으로, 이를 실습하면서 이메일 피싱으로도 시험해보신 것 같습니다. 이메일을 통한 스크립트 실행에서 어려움을 겪고 계신 것 같은데요, 특히 링크 내의 스크립트를 제대로 실행시키지 못해 로그에 예상한 데이터가 나오지 않는 것 같습니다. 이 문제는 주로 스크립트가 브라우저나 이메일 클라이언트에서 잘리지 않고 올바르게 해석되도록 잘 구성되지 않아서 발생할 수 있습니다. 현재의 URL에서 문제의 핵심은 URL 인코딩과 브라우저에 의해 스크립트가 올바르게 해석되는지 확인하는 것입니다. < 와 > 와 같은 HTML 태그 문자가 제대로 인코딩되지 않으면 문제가 발생할 수 있습니다. 이메일 클라이언트나 브라우저에서 HTML 콘텐츠를 처리를 막을 수 있으므로, 이 점을 고려해 인코딩 상태를 확인하시고 필요하면 수정해 보세요. 이메일 내의 링크 또는 스크립트가 필터링되지 않았는지 확인해야 합니다. Related Resources : - 강사님 CSRF코드는 직접 짜려면 어떤 것을 참고해야하나요? 이 질문에서는 XSS와 CSRF 같은 웹 취약점 공격에서 자바스크립트를 활용하는 법에 대해 다루고 있습니다. 자바스크립트를 활용하여 HTTP 요청을 수행하는 방법도 확인하실 수 있습니다. 만약 이와 같은 과정에서 어려움을 겪고 계시다면, 관련된 추가 정보나 현재 시도 중인 URL과 메일 클라이언트의 맥락을 덧붙여 질문해 주세요. 지식공유자나 다른 수강생으로부터 더욱 구체적인 도움이 얻으실 수 있을 것입니다. 저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.