winHttp := ComObjCreate("WinHttp.WinHttpRequest.5.1") winHttp.Open("GET","http://nevercmecry.tistory.com/173") ; 주소 들어가는 부분.winHttp.Send("") winHttp.WaitForResponse( ) ;Data:= winHttp.ResponseText ifinstring, Data, authongoto, Go Else{msgbox,,관리자에게 문의하세요. , 사용 하실 수 없습니다.ExitApp} Go:msgbox, 스크립트 실행return ;;;;;;;;;;;;;;;;;;;;;;;;;; 해당게시글에 autoon이라는 문자열이 있으면 Go로 감.

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- * XSS 직접 공격대상에게 스크립트를 전송하는 것이 아니라, XSS 취약점이 있는 곳을 찾아 스크립트에 노출되게 한다. 이번엔 방어를 해보겠다. 스크립트를 실행하기 위해서 사용하는 태그들을 html 인코딩 시켜버리면, 작성은 되지만 실행은 안되는 형태로 변형이 가능해진다. 인코딩해서 저장하면 인코딩된 내용이 db에 저장된다. 게시글을 읽을때 인코딩하는 방식은..

* 본 게시물의 내용은 수업에서 배운 것을 정리한 것이므로 악용해서는 안됩니다. 게시된 내용들은 잘 알려져있는 기술들입니다. 따라서 악용하더라도 쉽게 적발되니 절대 악용해서는 안됩니다.-------------------------------------------------------------------------------------------- * 세션 하이재킹 동일한 네트워크에 있고, 스니핑이 가능한 상황이라면 가능할 수 있는 공격이다. 로그온 된 세션을 훔치는 것인데, 로그인 되있으리라고 짐작된 패킷의 쿠키값을 이렇게 벨류 복사를 해준다. xp의 세션 값을 넣어주고 Trap 풀고 Continue 해주니 로그온 상태로 나온다. 하지만 이대로 놔두면 단 한번밖에 세션유지가 안된다. paros의 기능을..