[Bee-box] XSS - Reflected (JSON)

JSON은 웹 브라우저와 서버 간 데이터 교환에 주로 사용된다.

 

난이도 하

 

 

페이지 입력 폼에 아무 값이나 입력하고 소스코드를 본다.

 

 

 

asd 가 스크립트 문 안에 들어간다. 여기서 새로운 스크립트 문을 실행하기 위해서는 기존의 스크립트 문을 닫고 새로운 스크립트 문을 작성하면 된다.

 

 

 

</script><script>alert("hi")</script><script>

 

XSS 성공

 

 

 

 

난이도 중 상

 

난이도 중 상 에서는 htmlspecialchars() 함수를 통하여 입력값을 필터링 하고 있다.

 

 

 

 

 

 

대응방안

 htmlspecialchars() 함수 사용