[WebGoat] Stored XSS Attacks 정의 및 문제 풀이

Stroed XSS Attacks  정의 및 문제 풀이

 

풀이

Title과 Message에 입력 

Title: test

Message: <script>alert("XSS")</script>

 

 

결과

test라는 이름의 버튼이 생긴 것을 볼 수 있다.

그 후에 버튼을 클릭했을 때, XSS라는 alert 창이 뜨면서 성공!!

 

 

자세한 설명

Cross-Site Scripting (XSS)

• 웹 페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되도록 유도할 수 있다.
• 사용자 측 언어: HTML, JavaScript, CSS 등
  • ex) <script>alert("XSS")</script>
    • 해당 구문은 자바스크립트 구문으로 XSS라는 문구를 경고창으로 띄우라는 내용이다.

종류

- Stored XSS: DB에 저장이 되고 그것을 가지고 보내는 역할

- Reflact XSS

 

막는 방법

- 필터링

- 모든 것을 다 문자열로 받는다(문자열로 치환)

- 방지 라이브러리 활용