해킹정보


게시글 '메일서비스에서 자바스크립트 금지를 회피하기'에 대한 정보
메일서비스에서 자바스크립트 금지를 회피하기
등록일 2006-09-25 조회 4,172
예전에 쿠키 스니핑이 이슈가 된적이 있었죠? 지금도 쿠키 스니핑이 되는 것들이 많이 있습니다. 이 쿠키 스니핑이 이슈가 된 후에 많은 메일 서비스 회사들이 쿠키 스니핑에 이용되는 javascript 를 사용하지 못하도록 막아놓았습니다. 특정 문자열을 다른 문자열로 바꾼다던지 하는 방법들을 사용해서 막은 것이죠. (그런데 어떤 회사들은 아예 대처를 하지 않았더군요. 여기선 그나마 대처를 해놓은 서버들에 대한 필터링 방법에 대해서 이야기합니다.) 하지만 이 것들을 다른 방법으로 피해갈 수 있습니다. 먼저 그 브라우저에서 다른 페이지를 읽어오려면 iframe 이나 embed 혹은 img 태그 등을 이용하면 됩니다. 그 페이지에서는 쿠키를 담는 스크립트를 쓰면 되겠죠. 그 방법에 대해서는 제가 제로보드 4.0 취약성에 대해서 쓴 글을 읽어보시면 될 것 같습니다. 여기서 설명드릴 방법은 자바 스크립트를 사용하지 못하게 조취를 취한 곳에서 스크립트를 사용하는 방법을 말씀드리겠습니다. 먼저 메일 서비스 회사에서 어떤 식으로 자바스크립트를 사용하게 못하는지 알아보도록 하겠습니다. 자바 스크립트를 사용하기 위해서는