TL;DR

<aside> πŸ’‘ μ›Ή μƒμ—μ„œ κ°€μž₯ 기초적인 취약점 곡격 λ°©λ²•μ˜ μΌμ’…μœΌλ‘œ, μ•…μ˜μ μΈ μ‚¬μš©μžκ°€ κ³΅κ²©ν•˜λ €λŠ” μ‚¬μ΄νŠΈμ— 슀크립트λ₯Ό λ„£λŠ” 기법을 λ§ν•œλ‹€.

</aside>

λ°°κ²½(Background)

<aside> ❗ 2024/01/04 κΈ°μ€€: μ„œλΉ„μŠ€κ°€ 점점 μ»€μ Έμ„œ κ·ΈλŸ°κ±΄μ§€β€¦.μ–΄λ–€μ—°μœ μ—μ„ μ§„ λͺ¨λ₯΄κ² μ§€λ§Œ 지겹도둝 xss ν˜Ήμ€ sql injection곡격이 λ“€μ–΄μ™”λ‹€. λ””λ„μŠ€ 곡격마λƒ₯ 짧은 μ‹œκ°„μ— 큰 νŠΈλž˜ν”½μ΄ λ“€μ–΄μ˜¨κ²ƒ 외에 아직 아무련 영ν–₯을 λΌμΉ˜μ§„ μ•Šμ§€λ§Œ λ°λΈŒμ˜΅μŠ€μ™€ ν˜‘μ˜ν•΄μ„œ λŒ€μ‘ν•˜κ³  μžˆλŠ” 쀑이닀..

</aside>

Intro

XSS 곡격(XSS Attack)은 10가지 μ›Ή μ• ν”Œλ¦¬μΌ€μ΄μ…˜ λ³΄μ•ˆ 취약점 λͺ©λ‘μΈ

OWASP Top10에 ν¬ν•¨λ˜μ–΄ μžˆμ„ μ •λ„λ‘œ 자주 λ°œμƒν•˜λŠ” 곡격이닀.

λŒ€λΆ€λΆ„μ˜ 경우 μ‚¬μš©μžκ°€ 글을 μ“°κ³  읽을 수 μžˆλŠ” κ²Œμ‹œνŒμ—μ„œ 자주 λ°œμƒν•˜μ§€λ§Œ,

μ‚¬μš©μžμ˜ μž…λ ₯ 값을 μ›ΉνŽ˜μ΄μ§€μ— ν‘œμ‹œν•˜λŠ” μ–΄λ– ν•œ κ³³μ—μ„œλ„ 곡격이 λ°œμƒν•  수 μžˆλ‹€.

XSS 곡격은 μ•…μ˜μ μΈ μ‚¬μš©μžκ°€ C&C μ„œλ²„λ‘œ λ¦¬λ””λ ‰μ…˜ν•˜κΈ° μœ„ν•΄

λ¦¬λ””λ ‰μ…˜ 슀크립트λ₯Ό μ£Όμž…ν•΄ 쀑간 κ²½μœ μ§€λ‘œ ν™œμš©λ˜κΈ°λ„ ν•˜λ©°, ( Zombie PC )

μ‚¬μš©μžμ˜ μΏ ν‚€λ₯Ό νƒˆμ·¨ν•΄ μ„Έμ…˜ ν•˜μ΄μž¬ν‚Ή(Session Hijacking) ( μ–΄λͺ½μ–΄μŠ€ )

곡격을 μˆ˜ν–‰ν•˜λŠ” 역할을 ν•˜κΈ°λ„ ν•œλ‹€.

Reflected XSS