Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- 시스템 해킹
- Metasploit
- 해킹도구
- SQL Injection
- 해킹툴
- 취약점 스캔
- CTF
- 내부침투
- 권한상승
- 모의해킹
- root권한
- Hacking
- 해킹
- web hacking
- load of sqlinjection
- 칼리리눅스
- 암호해독
- 취약점분석
- Samba
- 메타스플로잇
- 침투테스트
- Los
- 포트스캔
- 취약점
- smb
- 스캔
- Kioptrix
- 스캐닝
- SQLINJECTION
- sql
Archives
- Today
- Total
감자 텃밭
[JavaScript] eval() 함수 본문
eval () 함수란??
eval 함수는 JavaScript에서 제공하는 전역 객체의 함수 속성이다.
eval은 eval() is evil이라는 말이 떠돌 정도로 좋지 않은 함수이다.
아주 취약한 함수라는 것을 뜻한다.
해당 함수를 사용하게 되면 공격자에 의해 임의의 코드를 실행시킬 수 있다.
해당 함수의 문법은 아래와 같다.
eval(string)eval 함수의 매게 변수는 문자열이며,
입력받은 문자열을 그대로 javascript구문으로 인식된다.
즉
eval('1+1') = 2
eval('alter(document.cookie)') = 쿠키값 노출
와 같이 실행시킬 수 있다.
이 외에도 aval 함수의 매게 변수로 입력값이 존재할 때
해당 입력값을 주고 강제로 종료시킨 후 이어서 js표현식을 쓸 수 있다.
(sql injection과 유사한 방식으로)
eval() 함수는 caller 즉 호출자의 권한으로 해당 매게 변수에 들어온 값을 통해 js를 실행시킨다.
※ 내용이 이상하거나 문제가 있을 경우, 또는 설명에 부족한 내용이 있으시면 알려 주시면 감사합니다.