swuforce 심화팀/워게임 스터디

DOM-based XSS 실습

ran831 2025. 11. 18. 21:06
  • DOM-based XSS(Domcument object model xss)
    • 서버가 아니라 브라우저 내에서 실행되는 javascript(dom 조작 코드) 때문에 발생하는 xss 취약점
    • 일반 XSS와 달리 서버는 공격 페이로드를 전혀 보지 못하기 때문에 로그에 남지 않음
  • source(공격자의 입력) - sink(취약한 dom 함수) 구조
    • 브라우저 js가 source 값을 검증 없이 sink에 넣으면 악성 스크립트가 dom에 삽입되며 실행됨
  • 방어 방법
    • innerText, textContent, setAttribute 등 안전한 sink 사용
    • HTML 이스케이프
    • CSP(content security policy) 적용
  • 실습

dom.html이라는 실습 파일 제작함

공격 구문 입력

'swuforce 심화팀 > 워게임 스터디' 카테고리의 다른 글

[드림핵] Happy New Year!  (0) 2026.01.27
[web] simple_sqli_chatgpt  (0) 2026.01.13
[드림핵] Click me!  (0) 2025.11.18
DevTools 주요 기능 정리와 Console 패널 실습  (0) 2025.11.11
[드림핵] devtools-sources  (0) 2025.11.11

'swuforce 심화팀/워게임 스터디'의 다른글

  • 현재글DOM-based XSS 실습

관련글

티스토리툴바