DOM과 Reflected XSS 차이
안녕하세요. XSS 강의 잘 수강하고 있습니다.
제목 그대로 DOM XSS와 Reflected XSS의 차이에 대해서 궁금한게 있어서 문의드립니다.
DOM based XSS와 Reflected XSS의 차이가 클라이언트 측에서 동적 페이지를 구성하냐, 서버 측에서 구성하냐라고 하셨는데, Reflected XSS에서 서버 측 어플리케이션 단에서 동적 페이지를 구성한다는게 조금 이해가 안 가서 그러는데 혹시 예시를 들어주실 수 있을까요?
감사합니다.
回答 1
3
안녕하세요.
사용자 입력 값에 따라서 페이지 내용이 달라지는 것을 동적 페이지라 하는데,
예를 들어, page.php?value=test 라고 요청 시 응답 값에 test라는 내용이 있으며, page.php?value=crehacktive라고 요청 시 응답 값에는 crehacktive라는 내용이 존재합니다.
이처럼 입력 값에 따라 페이지의 내용이 다른 것을 동적 페이지라고 합니다.
이렇게 동적 페이지를 구성하는 것은 크게 클라이언트 혹은 서버 측에서 할 수 있습니다. Reflected XSS의 경우는 서버 측에서 동적 페이지를 구성하는 환경에서 발생되는 XSS를 말합니다. 즉, page.php?value=[악성스크립트] 요청 시 서버 측에서 사용자 입력 값을 응답 메시지 내 실어서 페이지 내 [악성스크립트]가 담겨서 오는 것을 말합니다. 반면 DOM XSS 경우는 JS의 DOM을 통해 클라이언트 측에서 사용자 입력 값을 통해 동적 페이지를 구성하는 것을 말하죠.
이렇게 클라이언트 측인지 서버 측인지 구별하는 방법은, page.php?value=test 요청 후 웹 프록시 도구를 통해 응답 메시지 내 test 라는 단어가 포함되어 있는지 찾아보는 방법이 있습니다. 만약 test 단어가 존재하면 Reflected XSS 테스트를 해보면 되겟죠.
iam 권한
0
15
1
받을 수도 없는 수업 자료들이 올라와 있고, 이것들 때문에 강의를 수료할 수도 없습니다.
0
14
1
침해사고 샘플분석 첫번째 파일 다운로드 불가
0
28
1
인터넷 연결은 되는데 구글 검색은 안돼요.
0
28
1
저는 왜 xss 실행이 안될까요?
1
70
2
주의사항 1
1
75
2
게시판 취약점 찾기 속 미션2) 질문
0
99
2
왜 후위 처리 방식을 사용하나요?
0
71
2
mysql 환경 변수 설정 마지막 단계
0
85
1
Reflected XSS 를 이용한 세션 탈취 공격
0
464
2
비트나미 설치 전에 APM같은거 설치되신 분들은
0
323
1
board 접속시 에러가 납니다
1
377
1
검증 로직에 따른 각종 우회 기법
1
425
2
궁금한점이 있어 질문 남깁니다!
1
305
2
Board 관련 문의
1
377
1
board 오류
0
353
1
mysql 대신 mariadb폴더
0
384
1
wampstack 폴더안에 Mysql 폴더가 설치되어 있지 않습니다.
1
464
2
가상 환경 및 실습 예제 환경 세팅 때문에 안되서 힘드네요
1
507
2
강의 교재
1
577
4
섹션 4. 공격상세방법론 - [미션] 게시판 취약점 찾기 풀이 검토 및 개인적인 질문
1
622
1
board 화면에 아무런 정보가 뜨지 않습니다.
2
662
1
common.php수정
1
522
1
board 화면에서 500에러가 뜹니다.
1
682
1