XSS - Reflected (GET/POST)

meow00 2021. 1. 19. 20:43

First name에 hello, Last name에 world라는 값을 넣어보았다.

넣어준 값이 그대로 출력되었다.

위의 URL을 확인해보아도 그냥 값이 그대로 전달되는 것을 확인할 수 있다.

그렇다면 위의 값을 넣는 폼에 스크립트를 넣어 페이지의 쿠키 값을 가져와보고, alert 창을 띄워볼 수 있을 것이다.

First name:

<script>alert(document.cookie)</script>

Last name:

<script>alert("warning")</script>

성공

XSS - Reflected (POST) 문제의 경우는 스크립트가 전해지는 방식이 GET 방식이냐 POST 방식이냐 정도의 문제 차이가 있다고 볼 수 있다. 그렇기 때문에 똑같은 값을 넣어주어도 같은 결과가 출력되는 것을 확인할 수 있다.