Cross site scripting

Tags:

크로스 사이트 스크립팅 공격의 한가지 예가 되는 것 같네요.

Microsoft Internet Explorer allows execution of JavaScript code inside the CSS @import url() parameter. A user could post a specially crafted message using the @import method to insert malicious JavaScript code.

사이트에 임의의 자바스크립트만 입력가능하다면.. 무슨일들을 할 수 있을까는 상상력에만 제한될 뿐이죠.

음.. 여기가 무슨 보안 사이트도 아니고 개인 사이트인데다가, 제가 포스팅하는 내용도 악의를 가진 사용자는 별짓을 다할 수 있는 내용들이라 앞으로 이런 정보를 계속 포스팅할까말까는 앞으로 좀 생각해봐야겠습니다. 그런 이유로 위의 발췌문의 원본은 밝힐 수 없습니다. (갖다가 쓸 수 있는 코드가 있으니깐.) 차라리 그냥 Security 카테고리를 다 지워버릴까도 생각중임..

Comments

4 responses to “Cross site scripting”

  1. trax Avatar

    원문 밝혀도 됩니다. 제 경우 웹과 관련한 해킹 기법들을 따로 정리한 노트가 있습니다. 위에 말한 것도 포함되어 있고, img 태그를 이용한 것들까지… 모두 4-5년전부터 정리하던 것들입니다.
    자기만 알겠다라고 하는 것이 조금은 오만하다는 생각도 드네요… 팀 버너스 리가 인터넷을 만든 것은 ‘정보의 공유’였고, 검색하면 당연히 나올테니까요.(똑똑한 구글. ^^)
    아.. 이런… 태클 모드는 아닙니다.

  2. 민구 Avatar
    민구

    아 그게 아니라요..
    솔직히 한글로 저런 정보를 한곳에 모아두면 저는 그냥 just for fun으로 하는 거라도 누군가는 나쁘게 쓸 수 있단 말이죠… 그래서 은근히 범죄를 양성하는(?) 효과를 일으키지 않을까 하는 노파심이 든단 겁니다..

    당연히 trax씨나 그외 고수님들께서는 다 알고 계시고 기초적인 내용이겠지만, 문제는 제가 초보자이기 때문에 “기초부터 차근차근” 이곳에 정보가 모이게된단거죠.

    결과적으로 진짜 “해킹하는 법”을 단계적으로 가르쳐주는 포스팅이 되버린단게 제 노파심의 근원이죠..

  3. trax Avatar

    앗, 무슨 얘기인지 알았습니다. ^^a

  4. 민구 Avatar
    민구

    이해해주신다니 감사 (^^)(__)

Leave a Reply

Your email address will not be published. Required fields are marked *