1 | Notion

<aside> 📎 Content

DOM XSS

XSS Perform a DOM XSS attack with <iframe src="javascript:alert(xss)">

<aside> 💡 DOM XSS : DOM(Document Object Model)은 HTML 및 XML 문서에 접근하는 방법을 표준으로 정의하는 문서 객체 모델이다. XSS를 통해 DOM 환경을 수정하여 클라이언트 측 코드가 예상치 못한 방식으로 공격 구문이 실행되는 공격 기법이다.

</aside>

Untitled

단어를 검색창에 입력하면 Search Results와 함께 해당 키워드 + 해당 아이템을 보여준다. 검색 문자열이 result로 보여지는데

Untitled

이곳에 <iframe src="javascript:alert(xss)"> 과 같은 script를 삽입하면 해당 script가 html 코드 내에 삽입됨을 알 수 있고 script가 실행된다.

Bonus Payload

XSS Use the bonus payload <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="<https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/771984076&color=%23ff5500&auto_play=true&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true>"></iframe> in the DOM XSS challenge.

DOM XSS 문제와 같은 유형으로, <iframe width="100%" height="166" scrolling="no" frameborder="no" allow="autoplay" src="<https://w.soundcloud.com/player/?url=https%3A//api.soundcloud.com/tracks/771984076&color=%23ff5500&auto_play=true&hide_related=false&show_comments=true&show_user=true&show_reposts=false&show_teaser=true>"></iframe> 태그를 검색창에 삽입하면

Untitled

위와 같은 soundcloud 음원이 임베드로 형성됨을 알 수 있다.