1. XSS 공격
- Cross-site Scripting의 약자
- 공격자가 공격하려는 사이트에 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔 하는 기법
- 대표적 스크립트 언어 : 자바스크립트, VB스크립트
- 공격 당한 사용자는 의도치 않은 행동을 수행하거나 계정 하이재킹, 사용자 설정 변경, 쿠키 훔치기 및 오염, 광고 등을 당함
- 이 취약점은 사용자로부터 입력 받은 값을 제대로 검사하지 않고 그대로 사용할 경우 나타남
- 보통 특수문자나 예약어, 스크립트를 나타내는 문자를 사용함
2. 종류
1) Stored XSS
- 공격자가 삽입한 악성 스크립트가 데이터베이스에 저장되고, 저장된 악성 스크립트를 사용자가 조회할 때 발생
- 공격 당한 사용자는 쿠키를 탈취당하거나 다른 사이트로 리다이렉션 되곤 함
- 게시물 등에 스크립트를 삽입하는 게 대표적
- 사용자의 입력에 대한 검증이 없기 때문에 발생
2) Reflected XSS
- 사용자에게 입력 받은 값을 서버에서 되돌려 주는 곳에서 발생
- 보통 공격자가 악의적인 스크립트와 함께 URL을 사용자에게 누르도록 유도하고 사용자가 그 URL을 누르며 공격 당함
- 공격 당한 사용자는 쿠키를 탈취당하는 등의 일이 생김
3) DOM based XSS
- 악의적인 스크립트가 포함된 URL을 사용자가 요청하게 되어 브라우저를 해석하는 단계에 발생
- 삽입된 스크립트로 인해 클라이언트 측 코드가 원래 의도와는 다르게 실행됨
- 서버 측에서 탐지가 어려움
'Security > Web Hacking' 카테고리의 다른 글
| [XSS Game] Level 5 (0) | 2022.01.23 |
|---|---|
| [XSS Game] Level 4 (0) | 2022.01.14 |
| [XSS Game] Level 3 (0) | 2022.01.14 |
| [XSS Game] Level 2 (0) | 2022.01.09 |
| [XSS Game] Level 1 (0) | 2022.01.08 |
댓글