HTML 인젝션

API 보안 테스트에서 HTML 인젝션 취약점을 탐지하고 XSS 공격을 방지하는 방법을 설명합니다.

설명 # 문자열을 지원하는 모든 필드에 HTML 인젝션을 통한 XSS를 검사합니다. 여기에는 경로, 쿼리, 헤더와 같은 HTTP 요청의 일부뿐만 아니라 XML 필드, JSON 필드 등의 본문 파라미터도 포함됩니다. 탐지는 알려진 HTML 지원 필드에 주입된 값이 응답에 포함되는지 모니터링하여 수행됩니다. 해결 방법 # 크로스 사이트 스크립팅(XSS)은 공격자가 제공한 코드를 사용자의 브라우저 인스턴스에 삽입하는 공격 기법입니다. 브라우저 인스턴스는 일반 웹 브라우저 클라이언트이거나, WinAmp 내부 브라우저, RSS 리더, 이메일 클라이언트 등의 소프트웨어 제품에 내장된 브라우저 객체일 수 있습니다. 코드 자체는 일반적으로 HTML/JavaScript로 작성되지만, VBScript, ActiveX, Java, Flash 또는 기타 브라우저가 지원하는 기술로 확장될 수도 있습니다. 공격자가 사용자의 브라우저에서 코드를 실행시키면, 해당 코드는 호스팅 웹 사이트의 보안 컨텍스트(또는