해킹 찍먹 2.XSS

XSS는 크로스 사이트 스크립팅으로
악의적인 사용자가 입력란에 악성 스크립트를 작성해서 DB에 전달이되면 사용자가 그것을 불러올때 악성 스크립트가 실행되어서 정보가 탈취되는 해킹 방법이다.

게시판같은 여러사용자가 접근가능한곳이 위험하다.

크로스 사이트 스크립팅을 하기위해서
먼저 게시판을 만들었고
작성글을 등록할때
스크립트를 넣어보았다.

악성 코드는 초짜이기때문에
기본적인 자바스크립트 alert('ss')를 게시판 글에다가 올림

그리고 게시글을 보는데...!!!!!
게시글에 텍스트(p태그로) alert('ss')가 당당히 보이고있다. 스크립트가 실행이 안된것이다.
그렇게 쉽게 털리면 안되지. 음음

이유를 알아보았다.
현재 게시판은 타임리프의 th:text를 써서 게시글을 보이고있는데, th:text는 자동으로 html인코딩 기능이 있다.
html인코딩이란 태그에 쓰는 문자 <> 이런거가 태그로 인식되면 안되니까 문자로 인코딩 해주는 기능이다,

하지만 나는 스크립트를 실행시켜보고싶었고,
<th:utext> 라는 태그로 게시물을 출력하니 실행이되었다.
이것은 인코딩을 하지않는방식으로 스크립트가 정상적으로 실행이 가능하다.

이 태그를 어디다써! 라고 할수도 있겠지만,
html형식의 게시판도 있다. 그런곳에서는 입력값 검증이 철저해야겠다고 생각함

기능이 많아질수록 취약점도 많아지는것같음
그래서 보안은 기술이 발전할수록  중요도가 높아진다고 생각한다.