Ongoing IFrame attack proving difficult to kill
방법은, iframe을 담고 있는 payload를 검색 쿼리로 던진다는 것. 간단한 시스템이야 검색 결과 출력하다가 무너지겠고, 검색 결과 출력하다가 무너지지 않는 곳은 다음과 같이 무너짐.
Hackers exploit the system by typing a query immediately followed by the text of an IFrame. This data (including the IFrame) is then passed to various search engines and displayed if a user searches for a relevant keyword. When the user visits an apparently legitimate document, the IFrame activates and attempts to complete whatever instructions it has been given.
불특정 다수에게 공격 가능하므로 오히려 파괴력은 더 강함. 해결책은, 입력도 validation, 출력도 validation이라는 간단하지만 따르기 어려운룰을 지키는 것으로 해결 가능하다.