분류 전체보기

A tag 와 javascript schemeA tag는 html에서 사진, 동영상 등 파일을 다운로드하거나, 다른 URL에 연결시켜주는 역할로 웹 페이지에서 많이 사용됩니다.버그바운티 활동에서 XSS 취약점을 테스트 할때 a 태그의 href에 임의의 값을 넣을 수 있다면, javascript scheme을 사용해서 XSS를 시도하게 됩니다.A tag의 target=_blank 옵션이란?A tag에서 target 속성은 링크를 클릭했을 때, 열리는 방식을 명시하는 역할을 합니다.주로 사용되는 target 속성값으로는 다음과 같습니다._self (현재 지점, 기본값), _blank (새 창), _parent (상위 프레임), _top (창 전체)A tag의 target=_blank 옵션이 있을때 XSS?a..

1. 개요 이번에 Winter CMS에서 LessJS로 인해 발생할 수 있는 SSTI 취약점을 찾아 제보하였습니다. LessJS SSTI에 대해 잘 정리된 글이 없어 찾은 취약점 설명과 함께 공부한 내용을 정리하고자 합니다. 2. Less & LessJS Less Less는 CSS의 전처리기 언어입니다. CSS는 한번 로드된 코드 내용은 바뀌지 않습니다, 그러나 Less는 변수, 함수를 사용해 입력된 코드 내용에 따라 처리된 CSS를 작성합니다. 따라서 Less를 사용하면 CSS의 내용을 쉽고 빠르게 동적으로 처리할 수 있습니다. LessJS LessJS는 Less 언어로 구성된 .less 파일을 .css 으로 컴파일하는 역할을 합니다. 3. LessJS SSTI Less를 CSS으로 컴파일 하는 Les..