XSS 실습

XSS 실습

Start-up K-Shield 주니어라는 교육 프로그램에서 제공해 준 실습 페이지를 활용해 Cross Site Scripting 취약점을 실습해보겠다.

 

메인 홈페이지를 보면 왼쪽 부분에 사용자가 입력할 수 있는 폼을 확인할 수 있다. 여기에서 스크립트 구문을 넣어 XSS 취약점이 있는지 확인할 수 있다.

 

"><script>alert("XSS")</script> 또는 "><script>alert(document.cookie)</script> 이라는 스크립트를 이용해 취약점이 있는지 확인해 본 결과 다음과 같이 XSS 취약점을 확인할 수 있다.

 

oyesmall 홈페이지를 오른쪽 마우스 클릭 후 페이지 소스 보기를 눌러 확인해보면 다음과 같이 클라이언트 측에서 발생하는 취약점이다라고 확인할 수 있다. 또한 검색창에서 발생하는 XSS 취약점이기 때문에 Reflected XSS, 반사형 XSS라고 볼 수 있겠다.

 

 

또한 게시판 글쓰기 페이지에서 다음과 같이 XSS를 테스트하기 위하여 스크립트 언어를 내용에 넣어주고 XSS 취약점이 있는지 확인한다.

 

 

쓴 게시물을 눌러 확인해보면 다음과 같이 XSS 취약점이 발생하여 다음과 같이 알림창이 뜨는 것을 확인할 수 있다. 이것은 게시판에 저장되어 발생하는 취약점으로 Stored XSS 라고 볼 수 있다. 또한 다른 악성 페이지로 이동할 수 있는 스크립트를 작성하거나 장바구니에 상품을 담아 자동으로 결제하는 스크립트를 작성해 CSRF 취약점 까지도 이어질 수 있다.