콘텐츠 스푸핑(Content Spoofing)은 악의적인 프로그래머가 텍스트 삽입 또는 HTML 삽입을 통해 가짜 웹사이트를 사용자에게 합법적인 웹사이트로 제공하는 공격 유형을 정의하는 데 사용되는 용어입니다. 웹 애플리케이션이 검색 등을 사용하여 사용자가 제공한 데이터를 제대로 처리하지 못하는 경우 공격자는 이러한 상황을 이용하여 사용자가 알아차리지 못하는 추가 매개변수를 삽입할 수 있습니다. 이것은 원래 웹 페이지와 동일하게 보이는 다른 웹 페이지로 연결됩니다. 해당 페이지는 사용자에게 기밀 정보를 입력하도록 요청할 수 있으며 공개될 경우 심각한 피해를 입힐 수 있습니다.
주사의 두 가지 기본 유형은
- HTML 주입
- 텍스트 삽입
HTML 주입
- 공격자는 취약한 웹 애플리케이션을 찾습니다.
- 공격자는 일반적으로 이메일을 통해 모든 수단을 통해 수정된 URL을 사용자에게 보냅니다. 이 URL에 텍스트가 삽입되었습니다.
- URL을 클릭하면 사용자가 공격자 웹페이지로 이동하여 합법적인 웹페이지로 보입니다.
- 사용자가 사용자 이름, 비밀번호, 카드 핀 등과 같은 정보를 요청했습니다.
- 이 정보는 공격자 서버로 전송됩니다.
예
일부 사이트는 URL의 html 콘텐츠도 매개변수로 전달하며 일반적으로 div 태그 내부에 있습니다. 이로 인해 심각한 취약점이 발생합니다.
www.testing.com/siteAdcontent?divMessage=
여기를 클릭하세요!!
다음과 같이 수정할 수 있습니다 -
www.testing.com/siteAdcontent?divMessage= 클릭하지 마세요!!
텍스트 삽입
- 공격자는 취약한 웹 애플리케이션을 찾습니다.
- 공격자는 URL에 전달된 매개변수의 값을 수정합니다.
- 잘못된 페이지 요청 링크가 공격자 서버로 전송됩니다.
- 이제 유효한 웹페이지가 매개변수에 따라 잘못된 정보를 표시합니다.
- 요청 매개변수를 통해 메시지가 전달될 때 발생합니다.
예
www.testing.com/loginAction?userName=abc&password=123 다음과 같이 추가할 수 있습니다.
www.testing.com/loginAction?errorMessage=PasswordEmpty 이 새 URL은 사용자를 잘못된 콘텐츠를 표시하고 불쾌감을 줄 수 있는 페이지로 안내할 수 있습니다.