2018년 12월 10일
XSS (Cross Site Scripting)
I. 웹사이트 취약점을 이용한 해킹 공격, XSS
웹 페이지나 메일 등에 악성 Script를 삽입하여 Script를 실행하는 컴퓨터의 정보를 탈취하는 해킹 기법
II. XSS의 3가지 공격 유형
가. Stored XSS 공격
개념도 | – 웹 서버에 악성 스크립트를 영구적으로 저장 – 사용자가 웹 페이지의 링크를 클릭하면 Script가 실행 | |
---|---|---|
공격 순서 | ① 악성 스크립트 삽입 ② 웹사이트 상 URL링크 클릭 | ③ 악성스크립트 실행/감염 |
나. Reflected XSS 공격
개념도 | – 외부 입력 값을 브라우저에 응답 시 전송과정에서 발생 – 악성 URL을 배포하여 사용자가 클릭하도록 유도 | |
---|---|---|
공격 순서 | ① 웹서버 취약점 발견 ② 악성 URL 생성 | ③ 피해자에 URL 배포 ④ URL링크 클릭 후 감염 |
다. DOM XSS 공격
개념도 | – 서버와 관계없이 브라우저에서 발생 | |
---|---|---|
공격 순서 | ① 브라우저의 취약점을 이용하여 조작된 URL 배포 | ② 클릭 시 브라우저 취약점에 의해 정보 유출 |
III. XSS 공격에 따른 방어방안
방어 방안 | 설명 |
---|---|
– HTML 원천 봉쇄 – White List 이용 – 팝업 차단 사용 | – 본문 자체를 인코딩하여 HTML 사용 차단 – HTML 사용이 필요한 부분만 White List 등록 – 팝업 창을 띄우지 않는 브라우저 설정 |
One Comment