[웹해킹] XSS - 5분만에 체험 해보기

웹 해킹 기법중 하나인 'XSS', 5분만에 체험 해보기

안녕하세요! 오늘은 웹해킹의 대표적인 주제 중 하나인 'XSS'에 대해 함께 알아보도록 하겠습니다. XSS가 무엇인지, 그리고 어떻게 작동하는지 초등학생도 이해할 수 있도록 간단하게 설명해 드리겠습니다.

---

XSS란 무엇인가요?

웹사이트에서 댓글이나 글을 작성할 때, 단순한 텍스트 외에 특별한 코드를 삽입하여 다른 사용자들의 컴퓨터에 원치 않는 동작을 일으키는 기법이 있습니다. 이를 'XSS'라고 합니다. 이 기법은 웹의 보안 취약점을 이용한 것인데, 오늘은 이 기법이 어떻게 작동하는지 간단하게 체험해보도록 하겠습니다.

---

XSS 체험해보기

1. 아래의 코드를 복사해 주세요.

<script>alert("XSS 체험 중입니다!");</script>

1. 이 코드를 테스트 환경의 웹사이트 댓글이나 글 작성 부분에 붙여넣어 보세요. (주의: 실제 웹사이트에서는 절대로 시도하지 마세요. 여기서는 체험을 위한 설명만을 제공합니다.)
2. 그리고 해당 페이지를 새로고침해 보세요.

예상 결과: 화면에 "XSS 체험 중입니다!"라는 메시지가 나타납니다. 이렇게 코드를 삽입하여 원하는 동작을 일으키는 것이 바로 'XSS'의 기본 원리입니다.

 

만약 위 스크립트가 단순 alert이 아닌 악의적 목적의 스크립트였다면, 동작이되는것 자체가 문제겠죠.

이를 방어하기 위한 방법이 궁금한다면 아래 포스팅에서 확인해보세요 :)

[웹해킹] XSS - 간단한 방어 방법 (PHP, 출력인코딩)

---

마무리하며

XSS는 웹 보안의 중요한 주제 중 하나입니다. 오늘은 단순히 체험 목적으로 이 기법을 알아보았지만, 실제로 이런 기법을 악용하면 큰 문제가 발생할 수 있습니다. 따라서 항상 안전한 웹 사용을 위해 주의해야 합니다.

 

주의: 이 글은 XSS를 체험하고 이해하기 위한 목적으로 작성되었습니다. 실제 웹사이트에서 이런 행동을 하면 법적인 문제가 발생할 수 있으니 절대로 시도하지 마세요.

 

만약 실제 실험을 해보고 싶다면, XSS 테스트 베드 환경을 간단히 구축할수있는 레퍼지토리가 있으니 참고 해보세요 :)

 

GitHub - adrianbn/Play-xss-testbed: A quick analysis of Twirl's XSS protections