WebGoat - XSS (2)

Reflected XSS에 취약한 필드 식별하기

Reflected XSS란 외부에 있는 악성 스크립트가 희생자 액션에 의해 취약한 웹서버로 전달되고, 웹서버의 응답 페이지에 해당 악성 스크립트가 삽입되어 희생자 측에서 동작하는 방식의 공격이다.

XSS 공격은 검증되지 않은 사용자의 입력값으로부터 유발된다.

각각의 필드에 다음과 같은 스크립트를 입력하여 어떤 필드가 XSS에 취약한 지 알아보자.

<script>alert('my javascript here')</script>

첫 번째 필드에 입력한 후 버튼을 클릭해도 아무 반응이 없다.

카드 번호 필드에 스크립트를 입력하니 alert가 뜨면서 스크립트가 동작한다. 이를 통해, 카드 번호를 입력하는 필드가 XSS에 취약하다는 것을 알 수 있다.