비박스(bWAPP) A3 Cross-Site Scripting(XSS)

이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.

 

A3 - Cross-Site Scripting(XSS)

 

A3 - Cross-Site Scripting(XSS)

크로스 사이트 스트립팅(XSS) 취약점은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로, 웹 애플리케이션이 사용자로부터 입력받은 값을 제대로 검사하지 않고 사용할 경우 나타납니다. 공격자는 악의적인 스크립트 코드를 입력하여 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 악의적인 사이트로 이동, 악성 프로그램을 다운로드할 수 있습니다.

 

크로스사이트 스크립팅(XSS)은 공격유형에 따라 반사된 XSS(Reflect XSS)와 저장된 XSS(Stored XSS), DOM Based 스크립팅 등으로 나눌 수 있있습니다.

 

해당 취약점은 서버에 전달되는 모든 변수 값에서 발생할 수 있으며, 공격자가 세션을 탈취하여 다른 사용자의 권한을 획득하거나 악성코드 배포, 피싱 사이트를 노출시켜 중요 정보를 획득할 수 있습니다.

 

참고 사이트

[1] https://ko.wikipedia.org/wiki/사이트_간_스크립팅

[2] https://namu.wiki/w/XSS

[3] https://owasp.org/www-community/attacks/xss/