피싱 사이트 이동 시키기 1. BASIC 인증 요청 양식 활용 시나리오 BASIC 인증 양식을 이용하여 피싱 사이트로 이동 코드 공격 포인트 : 원본 URL 뒤 http: //www .example .co .kr @www .attacker .com 환경 원본 URL 뒤에 인자 값을 이어붙일 수 있는 경우 내용 BASIC 인증 URL 요청 양식(ex. http://ID:PW@www.example.co.kr )을 이용하여 원본 URL을 무시하고 피싱사이트로 이동 2. IPv6 요청 양식 활용 IPv4, Domain 양식의 피싱 URL 완성이 힘들 때 시나리오 IPv6 URL 요청 구문과 조합하여 피싱 사이트로 이동 코드 공격 포인트 - 원본 URL 앞 http:// [ 0:0:0:0:0:0:0:1 ]#.example.co.kr http:// [ 0:0:0:0:0:0:0:1 ]?.example.co.kr 환경 서브 도메인 값 조작 가능한 경우 javascript, 점(.)을 체크하는 경우 (ex [pram].example.co.kr 로 이동 목적) 내용 javascript:function(), attacker.co.kr, xxx.xxx.xxx.xxx 안될 때, 한 번쯤 시도