Web Hacking - Javascript 난독화
웹 취약점 점검 / 웹 해킹을 하다보면 방화벽이나 웹 페이지의 검증 등으로 XSS 공격이 되지 않는 경우가 있다.
이럴때 우회 방법중 하나로 스크립트 구문을 난독화 하여 공격이 가능하다.
(100%가능은 아니니 우회 방법중 하나로 생각하면 될듯 합니다.)
사용해본 방법으론 2가지가 있는데, 이모티콘으로 난독화 하는 방법과 [,] 같은 문자로 난독화 하는 방법이 있다.
1. 이모티콘 난독화
스크립트 문을 카와이한 이모티콘으로 바꿔주는 난독화 방법이다.
사이트는 아래를 참조
https://utf-8.jp/public/aaencode.html
aaencode - Encode any JavaScript program to Japanese style emoticons (^_^)
aaencode demo aaencode - Encode any JavaScript program to Japanese style emoticons (^_^) Enter JavaScript source: alert("Hello, JavaScript")
utf-8.jp
사용하면 이렇게 된다.
아래 이모티콘으로 바뀐 부분을 가져가 게시판 등에 활용할 수 있다.
참고로 이모티콘으로 난독화한 스크립트를 복호화 하는 사이트도 있다.
https://cat-in-136.github.io/2010/12/aadecode-decode-encoded-as-aaencode.html
aadecode - Decode encoded-as-aaencode JavaScript program. ['_']
aadecode - Decode encoded-as-aaencode JavaScript program. (゚Д゚) ['_'] Enter ...
cat-in-136.github.io
2. 문자열 난독화
이 방법은 흔히 jsFuck 이라 알려진 방법이다.
난독화를 하는 사이트는 아래 링크를 참조하면 된다.
JSFuck - Write any JavaScript with 6 Characters: []()!+
www.jsfuck.com
이건 사용 예시인데, 저 입력창 안에 스크립트문을 넣으면 아래처럼 변경해준다.
적절히 사용해서 웹 해킹에 사용하면 유용할듯 하다!