XSS (Cross Site Script)
웹 (어플리케이션)에서 사용자의 입력을 받을 수 있는 부분에 악의적인 스크립트를 삽입하여 해당 스크립트가 피해자 측에서 동작하도록 하는 취약점이다. 이를 이용하여 공격자는 피해자의 개인정보 및 쿠키 데이터를 탈취할 수 있다. 또한 악성코드를 감염시킬 수 있고, 스크립트에 다른 사이트의 URL을 삽입시키는 공격 등으로 웹페이지가 변조될 수 있다. 클라이언트 측에서 발생한다.
[공격 종류]
- Stored XSS : 공격자가 웹서버에 악성 스크립트를 저장 → 피해자가 해당 자료를 웹서버에 요청 → 저장된 악성 스크립트가 삽입된 응답 페이지가 피해자에게 전달됨 → 피해자(클라이언트) 쪽에서 페이지 동작 → 피해 발생
- Reflected XSS : 공격자가 XSS 공격에 취약한 사이트를 발견 → 피해자에게 악성 스크립트가 포함된 취약 사이트의 URL을 노출 → 피해자는 이 URL을 이용하여 접속 → 피해 발생
- DOM based XSS : 피해자 측의 DOM 환경을 악의적으로 수정 → 클라이언트 측에서 악성 코드가 실행됨 → 피해 발생
[대응 방안]
- 사용자의 입력을 반드시 서버단에서 수행
- 사용자의 입력에서 HTML 코드로 인식될 수 있는 특수문자를 일반문자로 치환하여 처리
CSRF (Cross Site Request Forgery)
특정 계정을 관리자의 계정으로 강제 변경시키거나 관리자 계정의 비밀번호를 임의로 설정하는 코드를 관리자에게 전송하여 개인정보가 변조되거나 탈취되는 공격이다. 관리자는 이메일 등의 메신저로 악의적인 코드가 삽입된 URL을 받게되고, 이를 관리자가 클릭하게 되면 공격이 수행된다. 서버측에서 발생한다.
[대응 방안]
- referrer 속성을 검증하여 차단
'Network' 카테고리의 다른 글
| 네트워크관리사 2급 (0) | 2021.01.23 |
|---|---|
| Socket Programming (0) | 2020.10.29 |
