stored cross-site scripting 취약점이 존재한다고 한다. 강의에서 배운 바로는, 서버에 악의적인 스크립트를 업로드하고, 해당 데이터에 접근할 시 실행되도록 하는 기법이다.
blog post에 방문하면 alert 함수가 실행되도록 하면 된다고 한다. 강의에서 예시로 보여주신 것처럼 하면 될 것 같다!
사이트에 접속해서 어떤 블로그에 들어갔더니 코멘트를 달 수 있었다.
코멘트를 달면 해당 스크립트가 서버에 저장되고, 서버에서 해당 페이지에 보여주는 것 같다. 나는 alert 함수를 실행시키는 코멘트를 작성하였기에, 이제 이 페이지에 접속하면 alert 함수가 실행될 것이다.
Post comment를 누르니 내 comment가 서버에 저장되고, 다시 해당 페이지에 접속하게 되어 alert(1)이 실행되었다!
문제 해결~