☁️ Guleum LAB

CSTI 란? Client Side Template Injection으로 클라이언트 측에서 사용되는 템플릿에 임의 구문을 주입한다는 의미를 가집니다. 브라우저 상에서 입력된 템플릿 표현식을 프론트 측에서 이해하고 원하는 결과를 보여준다는 것은 공격자 관점에서 템플릿 표현식 + 자바스크립트 구문 조합을 통해 XSS를 시도할 가치가 있는 취약점입니다. 일반적으로 XSS 취약점의 영향도와 유사하지만 온전히 자바스크립트 구문으로 실행시키느냐 템플릿 표현식에 담아서 실행하느냐의 차이가 존재합니다. 공격자는 샌드박스에서 허용되는 함수($eval 제공)와 객체(toString(), charAt(), trim(), prototype, and constructor)와 표현식 "{{}}" 또는 "[]"를 통해 샌드박스를 ..