Notice
Recent Posts
Recent Comments
Link
«   2025/04   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
Tags more
Archives
Today
Total
관리 메뉴

의미없는 블로그

[Fortify] Cross-Site Scripting: DOM 본문

# 나/source Code

[Fortify] Cross-Site Scripting: DOM

SaltLee 2025. 3. 12. 17:20

history.js 파일

setDefaultURL: function(def) {
 defaultHash = def;
 def = getHash();

 if (browser.ie) {
  window['_ie_firstload'] = true;
  var sourceToSet = historyFrameSourcePrefix + def;
  var func = function() {
    getHistoryFrame().src = sourceToSet;
    ....

 

getHistoryFrame()이 가리키는 프레임의 src 속성에 sourceToSet 값을 넣고 있다

sourceToSet 값이 악의적인 JavaScript 코드를 포함하고 있으면 XSS(DOM) 가능하다

 

근데 var sourceToSet = historyFrameSourcePrefix + def; 에서 

historyFrameSourcePrefix 는 하드코딩 된 값이고

def 는 getHash() 값이라서 입력값 조작 불가 (양호)

 

'# 나 > source Code' 카테고리의 다른 글

[Fortify] Insecure Transport  (0) 2025.03.12
Fortify 탐지 패턴 (Path Manipulation)  (0) 2024.12.24
[XSS] Content-Disposition: attachment  (0) 2024.12.23
[ASP.NET.C#] Stored XSS 취약점  (0) 2024.05.24
소스코드 진단용  (0) 2024.05.10
'# 나/source Code' Related Articles more
Comments