XSS (Cross Site Scripting)

I. 웹사이트 취약점을 이용한 해킹 공격, XSS

웹 페이지나 메일 등에 악성 Script를 삽입하여 Script를 실행하는 컴퓨터의 정보를 탈취하는 해킹 기법

 

II. XSS의 3가지 공격 유형

가. Stored XSS 공격

개념도
–     웹 서버에 악성 스크립트를 영구적으로 저장
–     사용자가 웹 페이지의 링크를 클릭하면 Script가 실행
공격
순서
① 악성 스크립트 삽입
② 웹사이트 상 URL링크 클릭
③ 악성스크립트 실행/감염
 

나. Reflected XSS 공격

개념도
–     외부 입력 값을 브라우저에 응답 시 전송과정에서 발생
–     악성 URL을 배포하여 사용자가 클릭하도록 유도
공격
순서
① 웹서버 취약점 발견
② 악성 URL 생성
③ 피해자에 URL 배포
④ URL링크 클릭 후 감염

다. DOM XSS 공격

개념도
–     서버와 관계없이 브라우저에서 발생
공격
순서
① 브라우저의 취약점을 이용하여 조작된 URL 배포② 클릭 시 브라우저 취약점에 의해 정보 유출

 

III. XSS 공격에 따른 방어방안

방어 방안설명
– HTML 원천 봉쇄
– White List 이용
– 팝업 차단 사용
– 본문 자체를 인코딩하여 HTML 사용 차단
– HTML 사용이 필요한 부분만 White List 등록
– 팝업 창을 띄우지 않는 브라우저 설정

 

One Comment

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^