"콘텐츠"라는 매개 변수를 허용하는 웹 응용 프로그램이 있다고 가정 해보십시오. 이 매개 변수에있는 것은 HTML 응답의 일부로 출력됩니다.공격자가 요청 매개 변수에서 HTML 태그 주입을 이용할 수 있습니까?
예 JSP 코드 :
<%= request.getParameter("content") %>
나는이 바보 알고 그것은 살균한다 등등,하지만 공격자가 실제로 활용할 수 있다면 내 질문은? 내가 이해할 수있는 방법은 자신에게 보낸 콘텐츠 만 변경하기 때문에 공격자가 상처를 입힐 수있는 유일한 사람은 자신입니까? 옳은?
손수 제작 URL을 방문하도록 희생자를 초대하는 것은 절대적으로 요구되는 사항입니까? URL을 방문하도록 다른 사람을 속일 수 없다면 다른 사람을 해칠 수는 없습니까? – stian
예 ...하지만 달성하기 어려운 요구 사항은 아닙니다. – Quentin