체인 공격 (피싱 + 풀스크린 + redirect)
풀스크린 가짜 UI, 자격증명 캡처, top redirect 를 묶어 의심을 줄이는 공격 흐름을 재현한다.
sandbox 정책별 동작
| 정책 | 예상 결과 |
|---|---|
| sandbox 미부착 | 동작함 |
sandbox="allow-scripts" | 부분 동작 |
sandbox="" (가장 엄격) | 차단됨 |
임베드 스니펫
이 코드는 임베드 전용 페이지를 사용합니다. 본인 서비스에 그대로 붙여 넣고 렌더링/차단 여부를 확인하세요.
<iframe src="https://xss-playground.com/embed/chained-attack?lang=ko" title="XSS Playground - 체인 공격 (피싱 + 풀스크린 + redirect)" width="600" height="420" loading="lazy" referrerpolicy="strict-origin-when-cross-origin"></iframe>
실행
// 로그 없음
해설
- iframe 임베드 후 즉시 풀스크린 오버레이로 서비스 UI 를 위장합니다. 사용자는 여전히 신뢰하는 사이트 안에 있다고 느낄 수 있습니다.
- 사용자가 자격증명을 입력하면 값은 iframe 의 자기 origin 으로 흐르고, 실제 공격에서는 공격자 서버로 전송됩니다.
- 전송 직후 top redirect 로 원래 페이지를 다시 열면 사용자는 "로그인 한 번 했네" 정도로 받아들이고 이상 징후를 놓치기 쉽습니다.
- 각 단계는 SOP 를 깨지 않고도 동작 가능한 브라우저 API 만 사용합니다.
- host allowlist 또는 엄격한 sandbox 정책으로 임의 호스트 iframe 자체를 막는 것이 가장 큰 효과를 냅니다.