네 안녕하세요. Godhaword 입니다. CTF나 wargame에서 XSS문제를 만나면 공부해볼까? 생각하다가 복잡한 RCE문을 보고 그냥 내려놓기 다반사였는데요. 이번에 한 번 천천히 공부해보기로 했습니다. 자료조사 하기전에 이해가 안 갔던게 아는 분들한테 XSS 관련 글에서 중요한 게 있냐 물어봤더니 " 테스트 할 때, 파이어폭스로 하세요. 크롬에선 스크립트는 안막지만 끼워넣는 스크립트 삽입은 막아요" 라는 말이였습니다. "? 그럼 제가 공격일 때 크롬이 불리하단거죠?" " 공격은 관련 없고 피해자가 크롬이면 불리하죠" ... 약간 뇌정지 왔었습니다. 제가 지금까지 하던 SSTI, R(L)FI, SQL Injection 등등 서버나 데이터베이스에 악의적인 공격을 하는 것이였어서, '아... 모지....