[SK shieldus Rookies 19기][애플리케이션 보안] Stored XSS (저장형 크로스 사이트 스크립트)

XSS: Cross-Site Scripting란?

웹 페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도할 수 있다. 예를 들어, 검증되지 않은 외부 입력이 동적 웹페이지 생성에 사용될 경우, 전송된 동적 웹페이지를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되어 정보유출 등의 공경을 유발할 수 있다.

Stored XSS는 스크립트 코드를 생성하고 사용자들이 스크립트를 읽을 때 공격자가 원하는 동작을 하게하는 공격방법이다.

비박스에서 XSS - Stored (Blog)로 접속

내용을 적고 submit 버튼을 누르면 게시물이 저장되는 사이트

이렇게 임의에 스크립트 코드를 저장 하면 사용자들이 이 게시물을 접근 할 때 마다 스크립트코드가 실행된다.