CSS Injection이란
sangjuns
·2022. 3. 18. 16:23
최근에 웹 공부 중에 NGA님꺼 블로그 보고 정리해봤습니다
https://ngaa.tistory.com/2?category=684400
CSS Injection이란 -> <style> </style> 사이에 아무런 검증이 없고 값을 추가할 수 있을 때 임의의 주소에 요청을 보낼 수 있는 것이다.
웹은 뭔가 사용자의 input벡터를 먼저 다 찾고 sanitizer가 없으면 웬만하면 취약점인듯
바이너리는 최소한 stack canary같은 gcc가 알아서 보호기법도 걸어주고 하는데 어지럽다.
POC
<!DOCTYPE html>
<html>
<head>
<title>CSS Injection</title>
<style type="text/css">
body { background: url("https://lsjwhhs.request.dreamhack.games"); }
</style>
</head>
<body>
</body>
</html>
'Web' 카테고리의 다른 글
| [ Web ] 웹린이 시점에서 prototype pollution알아보자 (0) | 2022.03.28 |
|---|---|
| [ Nodejs ] ejs로 html뿌려주기 (0) | 2022.03.25 |
| [ web & v8] Web Assembly, wasm에 대해서 (0) | 2022.01.31 |
| [ web ] websocket통신 시에 checksum이 같은 이유. (0) | 2022.01.27 |
| [ Web ] 정규표현식 (0) | 2022.01.24 |
