xss 취약점 예제

교차 사이트 스크립팅 취약점은 릴리스된 가장 중요한 웹 응용 프로그램 보안 위험 의 모든 OWASP 상위 10개 목록에서 이 취약점을 만든 몇 안 되는 취약점 중 하나입니다. DOM 기반 XSS 취약점의 예로는 2011년에 여러 jQuery 플러그인에서 발견된 버그가 있습니다. [20] DOM 기반 XSS 공격에 대한 예방 전략에는 기존의 XSS 방지 전략과 매우 유사한 조치가 포함되어 있지만 JavaScript 코드에서 구현되고 웹 페이지(예: 입력 유효성 검사 및 이스케이프)에 포함되어 있습니다. [21] 일부 자바스크립트 프레임워크에는 Angular.js와 같은 다른 유형의 공격에 대한 대책이 내장되어 있습니다. [22] 따라서 위험을 줄이는 데 도움이되지만 가능한 XSS 취약점을 방지하기에는 충분하지 않을 수 있습니다. 예제에서 볼 수 있듯이 검색 필드에 입력된 스크립트가 실행됩니다. 이것은 단지 XSS 공격의 취약점을 보여줍니다. 그러나 더 유해한 스크립트도 입력할 수 있습니다. 또 다른 인기있는 방법은 “와 `의 사용자 입력을 제거하는 것입니다 그러나 이것은 또한 페이로드가 난독화로 은폐 될 수 있습니다 (이 [1] 이의 극단적 인 예에 대한 링크 참조) 그러나, SOAP UI 도구를 사용하여이 취약점을 테스트하기 위해 , API 수준 테스트는 이미 해당 도구를 사용하여 자동화되어야 합니다.

XSS에 대해 테스트하는 또 다른 솔루션은 브라우저 플러그인이 될 수 있습니다. 그러나, 플러그인공격의이 유형에 대해 확인하는 매우 약한 도구로 간주됩니다. 전자 상거래 웹 사이트를 탐색하는 동안 가해자는 HTML 태그를 사이트의 댓글 섹션에 포함할 수 있는 취약점을 발견합니다. 포함된 태그는 페이지의 영구적인 기능이 되어 브라우저가 페이지를 열 때마다 나머지 소스 코드와 구문 분석합니다. 이러한 예제와 다른 예제는 대체 XSS 구문 공격의 진정한 백과 사전인 OWASP XSS 필터 회피 치트 시트에서 찾을 수 있습니다. 다음은 공격자가 XSS 공격을 통해 웹 사이트 또는 웹 응용 프로그램의 보안을 손상시키는 데 사용할 수 있는 일반적인 XSS 공격 벡터 목록입니다. XSS 페이로드 예제의 보다 광범위한 목록은 OWASP 조직에서 유지 관리합니다: XSS 필터 회피 치트 시트. HTML 문서에는 컨트롤 문, 서식 및 실제 콘텐츠를 혼합하는 플랫 직렬 구조가 있으므로 적절한 HTML 인코딩 없이 결과 페이지에 포함된 검증되지 않은 사용자 제공 데이터가 태그 삽입으로 이어질 수 있습니다.

[13] [14] 잠재적인 벡터의 고전적인 예는 사이트 검색 엔진입니다: 문자열을 검색하는 경우 검색 문자열은 일반적으로 검색된 내용을 나타내기 위해 결과 페이지에 그대로 다시 표시됩니다.

Sorry, comments are closed for this post.