주의사항 : 이 포스팅은 개인 학습 및 교육적 목적으로 작성되었으며, 제공하는 정보를 악용하여 불법적인 행위를 하는 것은 엄격히 금지되어 있습니다. 타인의 시스템에 대한 접근 권한을 얻기 위해 명시적인 동의를 받아야 하며, 이러한 기술을 사용하여 발생하는 모든 결과에 대한 책임은 사용자에게 있습니다.
0. 초기 화면
1. 서비스 실행
- 게시글 작성과 전체 삭제가 가능하다.
2. 스크립트 저장
- Message 에 <script>alert(1) 를 입력했더니 스크립트가 실행되었으며, 해당 웹 페이지에 접속 할 때 마다 스크립트가 실행된다.
- 기본 Message 입력 제한이 50자 이므로 더 긴 스크립트를 저장하려면 제한을 늘려 준다.
3. 활용
- Stored XSS 가 적용된 게시글에 접속을 유도하여 사용자가 접속 시 저장된 코드가 실행되므로, 사용자의 세션 쿠키를 탈취하거나 웹 사이트의 동작을 변경하는 등의 XSS를 수행시킬 수 있다.
출처
IT 보안, 관심 있는 것을 공부합니다.