[App]InjuredAndroid XSS

XSS

cross site scripting의 약자

악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법

클라이언트를 대상으로 한 공격

사용자의 정보(쿠키, 세션, 토큰 등) 탈취

 

자세한 내용은 아래 게시글 참고

XSS(Cross Site Scripting)

---

InjuredAndroid에서 XSSTEXT를 들어가서 XSS 스크립트 구문을 입력

<script>alert("seomj")</script>

 

 

코드 확인

jadx를 사용하여 XSSTextActivity 파일을 확인

submit Text를 보니 'DisplayPostXSS'로 전달되는 것을 확인

*intent: 액티비티간에 인수와 리턴값을 전달하는 도구로 사용

*putExtra: key 값과 value 값으로 이동하는 액티비티로 전달

 

DisplayPostXSS 파일 확인

16번째 줄에서 getExtra를 사용하여 'XSSTextActivity'에서 보낸 값을 stringExtra에 저장

19번째 줄을 보아 자바스크립트를 허용하고 있음

→ 해당 문자열을 가지고 왔으며 자바스크립트를 허용하고 있기에 동작함