XSS와 CSRF 비교

I. XSSCSRF의 개념

XSSCSRF
웹사이트에 악의적 스크립트 삽입하여 쿠키 및 기타 개인정보를 특정 사이트로 유출하는 해킹 기법로그인된 사용자가 자신의 의미와 무관하게 공격자가 의도한 행위(수정, 삭제 등)를 하게 하는 해킹 기법

 

II. XSSCSRF 구성도 및 세부 비교

가. XSS와 CSRF의 구성도

XSSCSRF

나. XSS와 CSRF 항목 별 비교

항목XSSCSRF
공격방식– 악성 Script가 사용자
클라이언트에서 발생
– 인증 권한 기반
  공격자의도 행위수행
공격시점– 클라이언트에서
  인증정보 전송
– 인증된 사용자가
  서버 공격, 변조
스크립트– 스크립트 필수– 스크립트 불필요
공격준비– XSS 취약점 분석 후
  즉시 공격 가능
– 서버 Request 및
  Response 분석필요
공격사례<iframe><script>
document.locaiton=…
</script></iframe>
(사용자 로그인 후)
<img src=”관리자 패스워드 변경”>

 

III. XSS와 CSRF 대응방안

구분취약점대응방안
XSS쿠키 정보 추출– 중요정보 Cookie 저장 방지
특수문자 이용– 입력값 검증, 특수문자 필터링
HTML 태그– ‘<’, ‘>’ 사용금지 ‘&lt’등 사용
링크 노출– 링크 복사하여 직접 접근
CSRF쿠키 가로 채기– 입력값 검증, 검출 시 Reject
세션 변조 사용– Query String 검사, GET금지
부정 클릭 사용– Unique Token 사용
DRDoS 공격참여– DoS 공격 관련 취약점 제거

 

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^