| r2 vs r3 | ||
|---|---|---|
| ... | ... | |
| 13 | 13 | 기술 부채로 인해 script-src에 unsafe-inline 이 들어가서 이번 공격을 원천적으로 막을 수 없었던 것은 아쉬웠던 점. |
| 14 | 14 | |
| 15 | 15 | === HttpOnly === |
| 16 | 기본적으로 세션 쿠키는 HttpOnly | |
| 17 | ||
| 18 | ||
| 16 | 기본적으로 세션 쿠키는 HttpOnly[* document.cookie, XMLHTTPRequest 등으로 쿠키값을 읽을 수 없도록 하는 속성. 자세한 설명은 이쪽으로. [[https://developer.mozilla.org/ko/docs/Web/HTTP/Cookies#%EB%B3%B4%EC%95%88%EA%B3%BC_HttpOnly_%EC%BF%A0%ED%82%A4|MDN]]]속성이 켜져 있기 때문에 이번 공격에서 로그인한 상태여도 기본적으로 피해가 없었다. | |
| 19 | 17 | |
| 18 | 하지만 자동 로그인 쿠키 honoka에 해당 속성을 켜놓는 걸 깜박하는 바람에 자동 로그인한 사용자는 이번 공격의 영향을 받게 되버린 것이다! 사실 자동 로그인 쿠키에 HttpOnly 속성만 들어가 있었어도 공격자가 특정 사이트--히토미--를 띄울 수 있었다는 것 외에 전혀 피해가 없을 수 있다는 점 또한 아쉬웠다. | |
| 19 | ||
| 20 | 20 | == 공격 코드 == |
| 21 | 21 | {{{[[파일:<script>$('textarea').val(document.cookie);$('form.new-thread-form').submit();</script>]]}}} |
| 22 | 22 | {{{[[파일:<script>location.assign('https://hitomi.la');</script>]]}}} |
| ... | ... |