[Bee-box] 반사된 XSS 취약점

이번 포스팅은 '반사된 XSS 취약점' 입니다.

 

실습하는 모든 공격은 실제로 사용하시면 안됩니다.

허용받지 않은 서비스 대상에 해킹을 시도하는 행동은 금지하며,

모든 법적 책임은 사용자에게 있는 것을 명심해주세요.

 

---

 

반사된 XSS 취약점이란?

'반사된 XSS(Reflected Cross-Site Script)'란 웹 페이지 URL에 존재하는 파라미터에 악의적인 스크립트 코드를 입력하여 사용자가 URL을 클릭하면 파라미터에 입력한 악성 스크립트 코드가 실행되게 하는 공격이다.

스크립트 코드가 포함된 URL을 메일로 전송하거나 게시물로 등록하여 사용자가 클릭하도록 유도한다.

 

(저장형 = 게시글 등 저장해서 사용자가 접속 시 실행, 반사형 = 유도 후 클릭유도 -> 클릭 시 스크립트 코드 실행)

 

https://lucete1230-cyberpolice.tistory.com/23

 

 

두 공격의 차이를 짚고 가도록 하자

 

이 취약점은 사용자들이 알아채기 쉬우며, 일부 브라우저에서 악의적인 스크립트에 대응하고 있기 때문에 

저장된 XSS보다 위협이 적은 편이다. 하지만 악성서버로 유도되면 저장된 XSS와 위협은 동일하므로 입력 값 검증이 

꼭 필요한 취약점이다.

 

 

공격 흐름도

공격흐름도는 위와 같다.