| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- PADDING
- crosssitescripting
- 취약점
- SK쉴더스
- 정보보안
- extension
- OWASP
- reflected
- Burp
- xsstool
- 특수대학원
- 쉴더스
- XSS
- paddingoracle
- Android
- hacking
- CSRF
- xst
- URL
- Burp suite
- 루키즈
- 성균관대학교
- bypass
- 대학원
- httpOnly
- 웹 해킹
- attack
- Mobile
- Trace
- web
Archives
- Today
- Total
목록Trace (1)
Why Always Me!
5. XST (Cross Site Tracing)
1. 개요XST는 HTTP TRACE 메소드를 사용한 공격 방법으로 TRACE 메소드를 사용하면 사용자 요청이 응답 값에 포함되어 반환된다는 것을 이용하여 HttpOnly로 보호되고 있는 세션 및 주요 정보 등을 탈취할 수 있는 취약점입니다. 다만 TRACE 메소드는 대부분의 브라우저에서 지원하지 않기 때문에, TRACE 메소드가 활성화되어 있다고 하더라도 실제 XST가 발생하는 경우는 거의 없습니다. 2. XST 공격 원리세션에 HttpOnly가 설정되어 있으면 자바스크립트를 통해 세션에 접근할 수 없으므로, 서비스에 XSS 취약점이 존재한다 하더라도 세션을 탈취하기 굉장히 힘듭니다.하지만 서버에 요청을 보낼 때 요청에는 세션이 포함되어 있기 때문에, 요청 값을 탈취하게 되면 자동으로 세션 값을 얻을 ..
취약점 CASE/Web
2025. 3. 1. 15:20