css injection 썸네일형 리스트형 [Dreamhack-web] Exploit Tech: CSS Injection 서론 웹 페이지 표현이 사용될 임의의 CSS 코드를 주입시켜, 의도하지 않은 속성이 정의되는 것을 CSS Injection이라고 한다. CSS Injection - 개념XSS와 비슷하게 웹 페이지 로딩 시 악의적인 문자열을 삽입하여 악의적인 동작을 이끄는 공격이다. 공격자가 임의 CSS 속성을 삽입해 웹페이지의 UI를 변조하거나 CSS 속성의 다양한 기능을 통해 웹 페이지내의 데이터를 외부로 훔칠 수도 있다. 데이터의 예로는 CSRF Token, 피해자의 API key등 웹 페이지에 직접적으로 보여지는 값처럼 CSS 선택자(Selector)를 통해 표현이 가능해야 한다. => 그래서 CSS 선택자로 표현이 불가능한 "script" 태그 내 데이터들은 탈취할 수 없다. CSS Injection 은 HTM.. 더보기 이전 1 다음