1. 웹사이트 취약점을 이용한 해킹 공격, XSS
- XSS : Cross Site Scripting
- 웹 페이지나 메일 등에 악성 Script를 삽입하여 Script를 실행하는 컴퓨터의 정보를 탈취하는 해킹 기법
2. XSS 3가지 공격 유형
(1) Stored XSS의 공격 방식
| 개념도 | – 웹 서버에 악성 스크립트를 영구적으로 저장 – 사용자가 웹 페이지의 링크를 클릭하면 Script가 실행 | |
|---|---|---|
| 공격 순서 | ① 악성 스크립트 삽입 ② 웹사이트 상 URL링크 클릭 | ③ 악성스크립트 실행/감염 |
(2) Reflected XSS의 공격 방식
| 개념도 | – 외부 입력 값을 브라우저에 응답 시 전송과정에서 발생 – 악성 URL을 배포하여 사용자가 클릭하도록 유도 | |
|---|---|---|
| 공격 순서 | ① 웹서버 취약점 발견 ② 악성 URL 생성 | ③ 피해자에 URL 배포 ④ URL링크 클릭 후 감염 |
(3) DOM XSS의 공격 방식
| 개념도 | – 서버와 관계없이 브라우저에서 발생 | |
|---|---|---|
| 공격 순서 | ① 브라우저의 취약점을 이용하여 조작된 URL 배포 | ② 클릭 시 브라우저 취약점에 의해 정보 유출 |
- 인증 권한 기반 공격자의도 행위수행하는 CSRF (Cross Site Request Forgery)와 차이
3. XSS 공격에 따른 방어방안
| 방어 방안 | 설명 |
|---|---|
| – HTML 원천 봉쇄 – White List 이용 – 팝업 차단 사용 | – 본문 자체를 인코딩하여 HTML 사용 차단 – HTML 사용이 필요한 부분만 White List 등록 – 팝업 창을 띄우지 않는 브라우저 설정 |
View Comments (0)