Blind XSS 워크플로우
사용자 입력이 즉시 실행되지 않더라도 관리자 콘솔, 알림, 로그 뷰어, CRM 같은 나중의 렌더링 화면에서 실행되는지 추적한다.
HTML payload 테스트
이 시나리오는 iframe sandbox 가 아니라 사용자 입력이 HTML/DOM 으로 렌더링되는 지점을 검증합니다.
- 사용자 화면뿐 아니라 관리자/운영자/메일/로그 화면까지 같은 렌더링 정책을 쓰는지 확인
- 콜백에는 민감정보를 담지 말고 실행 시점과 표면만 기록하는지 확인
- 저장형 XSS 는 delayed surface 까지 테스트 케이스로 관리하는지 확인
페이로드
복사할 payload
실제 테스트에서는 본인이 소유한 callback endpoint 로 교체해 지연 실행을 기록한다.
미리보기
미리보기는 학습용으로 의도적으로 unsafe 렌더링을 수행합니다. 실제 서비스에서는 이 payload 가 텍스트로 이스케이프되거나 제거되어야 합니다.
로그
// 로그 없음
해설
- Blind XSS 는 입력한 사람의 화면에서는 아무 일도 안 일어나지만, 운영자 도구나 알림/메일/로그 화면에서 나중에 실행되는 저장형 XSS 입니다.
- 테스트 callback 은 반드시 본인이 소유한 endpoint 를 쓰고, 쿠키/토큰 같은 민감정보를 보내지 말고 실행 위치와 시점만 기록하세요.
- 방어는 사용자-facing 화면만 sanitize 하는 것으로 끝나지 않습니다. 운영자 콘솔, 에러 리포트, CRM, 이메일 템플릿까지 같은 출력 정책을 적용해야 합니다.