공격방법은 적지 않겠습니다.
공격방법을 모두 알고있었지만 장난성으로 사용한 것(이런거나 이런거) 외에 사용자의 개인정보를 탈취하는 목적으로는 사용하지 않았습니다.
정렬 순서는 발견한 순서 또는 관련성 있는것 끼리
0. 외부 서버의 스크립트를 가져올 수 있습니다.
1. 글 내용에 스크립트를 적어 공격자가 게시판에 방문한 당원에게 원하는 동작을 시키거나 정보를 탈취할 수 있습니다. (XSS 공격)
2. 쿠키에 실명, 전화번호, 지역구, 이메일 주소, 집 주소(도까지) 등의 쿠키에 저장되어서는 안 되는 정보가 "평문으로" 저장되어있습니다. 쿠키는 1번의 방법으로 손쉽게 얻거나 조작할 수 있습니다. 당장 개발자도구를 켜서 콘솔창에 document.cookie 를 입력하고 엔터를 눌러보십시오. 그게 개인정보입니다.
3. 게시판에 iframe을 삽입하면 공격자가 당원들에게 바이러스를 다운로드하게 만들 수 있습니다. 자신도 모르는 사이에요. 또 그 외의 여러 공격이 가능합니다.
4. 로그인을 하지 않은 상태에서 대댓글이 달립니다.
5. 자바스크립트 콘솔을 사용하여 추천 수를 마음대로 늘릴 수 있습니다. 콘솔을 사용하지 않더라도 1번 방법을 사용해 순식간에 추천 수를 100개 넘게 올릴 수 있었습니다.
6. 타인의 게시글을 수정/삭제할 수 있습니다. 당대표님 글까지도요. 이를 이용해 모든 게시글을 XSS공격하는 게시글으로 만들 수 있습니다.
7. 아이디 수정 기한 180일을 무시하고 자유롭게 바꿀 수 있는 버그가 있습니다.
8. 취약점은 아니지만 사이트에 오타가 좀 있습니다.
수정횟수: 3회
마지막 수정: 2023-07-11 01:56:59
댓글
아는것도 별로 없는 고등학생이 꼴랑 5시간동안 조사해서 나온게 이 정도인데 전문적으로 하는 사람이 공격했을 때 어떤 일이 벌어질지 상상하면 끔찍하네요
@arores님에게 보내는 댓글
대단하시다 우리나라의 유망주!!얼른 보완됐으면 좋겠네요ㅜㅜ
@arores님에게 보내는 댓글
아는 게 없다뇨. 겸손하시네요. 멋져요.
이런 거 공부하려면 어떤 책으로 공부해야 하나요? 저는 임베디드 제어기 쪽이라... IT는 완전 몰라요