2018년 12월 12일
XSS와 CSRF 비교
I. XSS와 CSRF의 개념
XSS | CSRF |
---|---|
웹사이트에 악의적 스크립트 삽입하여 쿠키 및 기타 개인정보를 특정 사이트로 유출하는 해킹 기법 | 로그인된 사용자가 자신의 의미와 무관하게 공격자가 의도한 행위(수정, 삭제 등)를 하게 하는 해킹 기법 |
II. XSS와 CSRF 구성도 및 세부 비교
가. XSS와 CSRF의 구성도
XSS | CSRF |
---|---|
나. XSS와 CSRF 항목 별 비교
항목 | XSS | CSRF |
---|---|---|
공격방식 | – 악성 Script가 사용자 클라이언트에서 발생 | – 인증 권한 기반 공격자의도 행위수행 |
공격시점 | – 클라이언트에서 인증정보 전송 | – 인증된 사용자가 서버 공격, 변조 |
스크립트 | – 스크립트 필수 | – 스크립트 불필요 |
공격준비 | – XSS 취약점 분석 후 즉시 공격 가능 | – 서버 Request 및 Response 분석필요 |
공격사례 | <iframe><script> document.locaiton=… </script></iframe> | (사용자 로그인 후) <img src=”관리자 패스워드 변경”> |
III. XSS와 CSRF 대응방안
구분 | 취약점 | 대응방안 |
---|---|---|
XSS | 쿠키 정보 추출 | – 중요정보 Cookie 저장 방지 |
특수문자 이용 | – 입력값 검증, 특수문자 필터링 | |
HTML 태그 | – ‘<’, ‘>’ 사용금지 ‘<’등 사용 | |
링크 노출 | – 링크 복사하여 직접 접근 | |
CSRF | 쿠키 가로 채기 | – 입력값 검증, 검출 시 Reject |
세션 변조 사용 | – Query String 검사, GET금지 | |
부정 클릭 사용 | – Unique Token 사용 | |
DRDoS 공격참여 | – DoS 공격 관련 취약점 제거 |