<iframe src="javascript:alert(xss)">.DOM XSS 공격을 통해 주어진 코드를 삽입한다.
우선 DOM XSS 공격에 대해 알 필요가 있다.
XSS(Cross-Sire Scripting)란 웹사이트 관리자가 아닌 사용자가 임의의 스크립트를 삽입할 수 있는 취약점이다.
DOM XSS란 JavaScript를 이용해서 DOM(Document Object Model) 객체를 제어하여 취약점을 공격하는 방법이다.
DOM XSS 공격을 위해 사용자의 입력이 HTML에 나타나는 부분을 찾아보자.
제품 리뷰나 Support Chat 메뉴에서는 스크립트 입력이 안되는 것을 알 수 있다. 그러나 제품 검색 창에서는 스크립트가 그대로 입력이 되는 것을 볼 수 있다.
이제 여기에 주어진 스크립트를 삽입하면
DOM XSS 공격을 성공하였다.