웹해킹트랙 5주차 과제 - DVWA Low레벨 실습 #XSS(DOM)

Vulnerability: DOM Based Cross Site Scripting (XSS)

 

기존의 http://localhost/DVWA-master/vulnerabilities/xss_d/ 에서 Select 버튼을 누르면

http://localhost/DVWA-master/vulnerabilities/xss_d/?default=English 로 url이 바뀌게 된다.

 

default= 다음부분에 <script>alert(document.cookie)</script>를 입력하면 스크립트를 실행시켜 사용자의 쿠키를 확인할 수 있다.

DOM XSS는 서버에는 스크립트가 전달되지 않으나, 브라우저에서 스크립트가 동작하게 되는 공격이다.

 

 #을 사용하면 # 뒤에 오는 문장이 브라우저에서 쿼리의 일부로 처리되지 않고 조각으로 처리되게 하여, 스크립트는 작동하지만 서버에는 그 값이 전달되지 않게 할 수 있다.

 

http://localhost/DVWA-master/vulnerabilities/xss_d/?default=#<script>alert(document.cookie)</script>으로 실행해보면

같은 경고 창이 뜨지만 서버에는 스크립트가 전달되지 않은 것을 확인할 수 있다.