XSS(크로스사이트스크립팅) 기본 우회 방법 및 스킬업 XSS(크로스 사이트 스크립팅, Cross-Site Scripting)은 웹 어플리케이션의 보안 취약점 중 하나로, 공격자가 웹 사이트에 악성 스크립트를 주입하여 사용자의 브라우저에서 실행되게 만드는 공격 기법이다. 이를 통해 공격자는 사용자의 세션 쿠키, 토큰 등을 탈취하거나, 사용자를 대신하여 의도하지 않은 행동을 실행시킬 수 있다. XSS 공격의 원리 XSS 공격의 기본 원리는 사용자로부터 입력 받은 데이터를 적절히 검증하거나 이스케이프 처리하지 않고 웹 페이지에 그대로 반영할 때 발생한다. 공격자는 이러한 취약점을 이용해 스크립트 코드를 웹 어플리케이션에 주입하고, 이 코드가 다른 사용자의 브라우저에서 실행되도록 한다. 실행된 스크립트는 공격..

signature 미확인 JWT는 헤더(Header), 페이로드(Payload), 서명(Signature) 세 부분으로 구성되며, 토큰의 무결성과 인증을 보장한다. 헤더와 페이로드는 JSON 형태로 인코딩되어 Base64로 표현되며, 서명은 토큰의 변조 여부를 확인하는 역할을 한다. Signature 미확인 취약점에서는 서명을 확인하지 않아 변조된 토큰이 무조건 신뢰되는 문제가 발생할 수 있다. 일반적인 JWT 토큰은 헤더와 페이로드를 생성한 후, 비밀 키를 사용하여 서명을 생성한다. 서명은 토큰의 헤더와 페이로드, 알고리즘 정보를 조합하여 생성된다. 토큰 수신자는 헤더와 페이로드를 디코딩하고, 동일한 알고리즘과 비밀 키를 사용하여 서명을 검증한다. 헤더 인코딩: 헤더의 내용을 Base64로 인코딩하여 ..