재미있는 생각
1. if (user_visited_webmail_site_a) { // with CSS hack
send_spam_mail(to_victim_user_array);
2. if (user_visited_blog_site_a) { // with CSS hack
post_spam_comment(to_victim_blog_array);
3. if (user_visited_sns_site_a) { // with CSS hack
add_me_to_victim's_friends();
AJAX를 이용하면 victim 리스트를 동적으로 관리하기 쉬울 것이다.
이때 단점은 attacker의 위치를 노출할 수 밖에 없다는 것이다.
하지만, 묻지도 따지지도 않고 돈만 주면 언제든 OK할 수 있는 호스팅 업체들이 있기 때문에... 이 기법은 유용하다.
p.s. 최근에 연구한 몇 가지 기법들에 대해 같이 연구할 수 있는 사람이 있었으면 좋겠는데... 아쉽다.
1. if (user_visited_webmail_site_a) { // with CSS hack
send_spam_mail(to_victim_user_array);
2. if (user_visited_blog_site_a) { // with CSS hack
post_spam_comment(to_victim_blog_array);
3. if (user_visited_sns_site_a) { // with CSS hack
add_me_to_victim's_friends();
AJAX를 이용하면 victim 리스트를 동적으로 관리하기 쉬울 것이다.
이때 단점은 attacker의 위치를 노출할 수 밖에 없다는 것이다.
하지만, 묻지도 따지지도 않고 돈만 주면 언제든 OK할 수 있는 호스팅 업체들이 있기 때문에... 이 기법은 유용하다.
p.s. 최근에 연구한 몇 가지 기법들에 대해 같이 연구할 수 있는 사람이 있었으면 좋겠는데... 아쉽다.
덧글
ww0jeff 2009/03/11 11:40 # 답글
네, 저도 재밌는 생각 해봤었는데요.(이거 시간이 지나니 제 생각이었었는지 어디 원서에서 본건지 가물가물합니다. 흐~)
진정한 CSRF 이자 스팸메일이라고나 할까요
포탈사용자 victim 이 스크립트를 읽을때
메일발송하고
해당발송기록지우고
휴지통에있는 해당기록만 지우고..
비슷하게 웹인터페이스인 그룹웨어사용자 victim에게도 남발하고 말이죠..
그럼 재밌는 일 될거같은데요
구현은 어디 동생들 있으면 해보라고 하고 싶네요 T_T
일과시간에 하는거면 하겠습니다만 흐메~
강의자료로 한번 녹화 떠놓으면 쵝오 아니겠습니까..
저 ww0jeff.blogspot.com (억울하게) 삭제당해서 떠돌다... egloos로 돌아왔습니다.