XSS공격이란?

XSS (Cross-Site Scripting) 공격은 웹 사이트나 애플리케이션에서 발생하는 보안 취약점 중 하나로, 악의적인 사용자가 스크립트 코드를 삽입하여 다른 사용자들의 브라우저에서 실행되게 만드는 공격입니다.

이 공격은 주로 사용자가 입력하는 폼 필드나 URL 매개변수, HTTP 요청 헤더 등에서 발생합니다. 해커가 스크립트 코드를 삽입하면 해당 웹 사이트를 방문한 모든 사용자들이 그 코드를 실행하게 되며, 이로 인해 악의적인 사용자는 세션 쿠키, 비밀번호, 사용자 정보 등을 탈취하거나, 다른 공격을 수행할 수 있게 됩니다.

XSS 공격은 웹 개발자가 적절한 입력 유효성 검사를 수행하지 않거나, 입력값을 충분히 이스케이프(escape)하지 않아서 발생할 수 있습니다. 따라서 웹 사이트 개발자는 입력값 검증과 이스케이프 처리를 철저하게 수행하여 XSS 공격을 예방해야 합니다.

xxs-1번을 풀어보자.

이 문제는 파라미터 값에 스크립트를 넣어서 강제로 스크립트를 실행시키는 해킹방법을 사용해야한다.
그런데 flag url은 함정이다.
그래서 메모에다가 FLAG를 저장시키는게 나의 목적이다. 그래서 document.cookie를 사용하면 FLAG를 불러올수 있는데
문제는 스크립트로 api를 호출해야 한다. 하지만 자바스크립트는 신이다!
자바스크립트의 fetch()함수를 사용하여 api를 호출하니 문제를 풀었다.!!