X

XSS와 CSRF 비교

I. XSSCSRF의 개념

XSS CSRF
웹사이트에 악의적 스크립트 삽입하여 쿠키 및 기타 개인정보를 특정 사이트로 유출하는 해킹 기법 로그인된 사용자가 자신의 의미와 무관하게 공격자가 의도한 행위(수정, 삭제 등)를 하게 하는 해킹 기법

 

II. XSSCSRF 구성도 및 세부 비교

가. XSS와 CSRF의 구성도

XSS CSRF

나. XSS와 CSRF 항목 별 비교

항목 XSS CSRF
공격방식 – 악성 Script가 사용자
클라이언트에서 발생
– 인증 권한 기반
공격자의도 행위수행
공격시점 – 클라이언트에서
인증정보 전송
– 인증된 사용자가
서버 공격, 변조
스크립트 – 스크립트 필수 – 스크립트 불필요
공격준비 – XSS 취약점 분석 후
즉시 공격 가능
– 서버 Request 및
Response 분석필요
공격사례 (사용자 로그인 후)

 

III. XSS와 CSRF 대응방안

구분 취약점 대응방안
XSS 쿠키 정보 추출 – 중요정보 Cookie 저장 방지
특수문자 이용 – 입력값 검증, 특수문자 필터링
HTML 태그 – ‘’ 사용금지 ‘&lt’등 사용
링크 노출 – 링크 복사하여 직접 접근
CSRF 쿠키 가로 채기 – 입력값 검증, 검출 시 Reject
세션 변조 사용 – Query String 검사, GET금지
부정 클릭 사용 – Unique Token 사용
DRDoS 공격참여 – DoS 공격 관련 취약점 제거

 

Categories: 보안
도리: