WebGoat - XSS (1)

XSS에 대해 알아보기

XSS(Cross-Site Scripting)이란 웹 어플리케이션에서 사용자 입력 값에 대한 필터링이 제대로 이루어지지 않을 경우, 공격자가 악의적인 스크립트를 삽입하여 해당 스크립트가 희생자 측에서 동작하도록 하여 악의적인 행위를 수행하는 취약점이다.

공격자는 취약점을 이용하여 사용자의 개인정보 및 쿠키정보 탈취, 악성코드 감염, 웹 페이지 변조 등의 공격을 수행한다.

간단한 예시를 따라해보자.

브라우저의 주소 표시줄에 다음과 같이 입력해본다.

javascript:alert("XSS Test");
javascript.alert("document.cookie");

개발자모드의 콘솔을 이용하면 더 편리하게 이용할 수 있다.

새 탭에 현재 페이지의 URL을 입력한 후 쿠키를 출력하면 쿠키값이 동일하다는 것을 알 수 있다.