MACE's life blog

XSS는 2000년대부터 계속 이슈가 되는 취약점으로, 관리자가 아닌 제3의 사용자가 악성 스크립트를 사이트에 탑재할 수 있다. 무엇보다 사이트가 본래의 목적에 벗어나 악성코드(스크립트)의 숙주가 될 수 있으므로, 웹을 포함한 소프트웨어 개발시 항상 XSS(크로스 사이트 스크립팅, cross-site scripting)를 체크해야 한다. 그리고 기존에는 OWASP ZAP 등을 활용하였으나, OWASP Xenotix XSS Exploit Framework라는 도구를 알게되어 소개한다. 이 툴은 XSS에 특화된 다양한 기능을 제공하며, GET/POST 방식을 모두 체크할 수 있다. 당연히 만능은 아니겠지만, 짧은 개발(구현)기간 안에서 최대한의 취약점을 배제할 수 있도록 할때 유용할 것이다. 현재 페이로드는..