개요
Reflected XSS는 악성 스크립트가 담긴 URL이나 입력 값에 포함되어 서버로 전송되고, 서버가 이를 검증 없이 동적 페이지를 구성하여 브라우저로 돌려보낼 때 발생하는 취약점이다.
취약점 발생 지점
사용자의 입력 값을 검증 없이 서버 응답에 포함되어 브라우저로 전달될 때 발생한다. 이때 브라우저가 해당 응답을 해석하면서 악성 스크립트가 실행된다.
공격 동작 순서
- 공격자가 악성 스크립트를 URL 파라미터나 입력 값에 삽입하고, 피해자가 해당 URL을 클릭하거나 접속하도록 유도한다.
- 서버는 사용자 입력 값을 검증 없이 동적 페이지를 그대로 구성하여 클라이언트에게 전송한다.
- 피해자의 브라우저가 해당 페이지를 렌더링하는 과정에서 악성 스크립트가 실행된다.
dolephine homepage 