Cross-Site Scripting ( XSS ) 공격

📌  XSS ?

 

Cross-site Scripting 의 약자이며, 웹 상에서 일어나는 기초적인 공격 방법의 일종.

악의적인 사용자가 공격하려는 사이트에 script 를 넣는 기법을 말한다. ( script의 형태는 다양하다 )

보통 사이트에 접속한 사용자의 쿠키나 세션, 토큰 등 민감한 정보를 탈취하는 데 사용된다.

 

◾  Stored XSS ( Persistent XSS )

 

저장형 XSS 공격 ( 지속형 XSS 공격 )

일시적으로 공격하는 것이 아니라 지속적으로 피해를 입히는 XSS 공격을 말한다.

해커가 삽입한 script 가 DB에 저장되어, 악성 코드가 삽입된 웹 페이지를 본 사용자들에게 지속적으로 공격이 가해진다.

사용자가 입력한 값이 DB에 저장되고, 저장된 그대로 클라이언트 단에 보여질 때 이 공격이 성공할 가능성이 커진다.

 

 

◾  Reflected XSS

 

반사형 XSS 공격

일시적으로 사용자에게 피해를 입히는 XSS 공격을 말한다.

보통 사용자에게 입력받은 값을 바탕으로 서버에서 응답을 반환하는 곳에서 발생한다.

해커는 script 가 포함된 URL 을 사용자가 누르도록 유도하여 사용자의 정보를 탈취해간다. 

 

 

📌  XSS 대응방안 ?

 

✔  데이터 입력과 출력의 모든 과정에서 악성 script 를 필터링할 수 있는 장치를 설치한다.

     ex.  XSS Cheat Sheet 를 만들어 모의 해킹해보는 것.

     ex. iframe 내에서 제한하는 방법 사용해볼 것.

✔  XSS 공격을 막기위해 설계된 공개 라이브러리를 활용한다.

     ex. OWASP Antisamy / NAVER Lucy XSS Filter / ESAPI

 

 

 

 

 

 

 

 

참고

https://namu.wiki/w/XSS

https://noirstar.tistory.com/266

https://developer.mozilla.org/en-US/docs/Web/Security/Types_of_attacks#cross-site_scripting_xss