본문 바로가기
프로그래밍 놀이터/보안

[도서 정리] 51. 크로스 사이트 스크립팅(XSS) - 보안의 기본

by 돼지왕 왕돼지 2019. 11. 30.
반응형

51. 크로스 사이트 스크립팅(XSS) - 보안의 기본



-

크로스 사이트 스크립팅(Cross Site Scripting:XSS)는 한 마디로 동적 웹 페이지나 웹 앱의 취약성을 악용한 공격 수법이다.

동적 웹 페이지란 사용자의 입력 내용이나 조작 내용에 따라 표시 내용이 변하는 웹 페이지이다.




-

크로스 사이트 스크립팅의 구조를 이해하기 위해서 가장 먼저 이해해야 할 것은 악의를 가진 공격자가 직접 여러분의 브라우저(PC)를 공격하는 것이 아니다라는 점이다.


1. 공격자는 미끼 페이지를 준비

2. 사용자가 미끼 페이지에 엑세스

3. 사용자가 부정한 파라미터를 포함한 링크를 클릭

4. 스크립트를 포함하여, 정규 페이지에 엑세스

5. 정규 페이지 웹 서버는 응답을 반환.

6. 응답에 포함된 스크립트가 사용자의 브라우저에서 실행되어 부정한 웹 페이지를 표시( 또는 정보 탈취 )


결과적으로 사용자는 악의적인 웹 페이지로부터 공격을 받아 데이터의 파손이나 유출 등과 같은 피해를 입는다.

(돼왕 : XSS 예시를 보면 더 이해하기 쉽다. )



-

브라우저가 갖고 있는 데이터는 기본적으로 그 데이터를 주고받고 있는 서버밖에 취득할 수 없기 때문에, 공격자가 사용자가 직접 데이터를 주고받는 웹 서버를 이용할 필요가 있다.

XSS 는 동적 웹 페이지나 웹 앱이 급증하는 요즘 급격히 증가하고 있는 공격 방식이다.

XSS 를 응용하면 키 로깅(Key logging: 사용자의 키 입력 내용을 훔침)과 같은 고도의 공격도 가능하기 때문에 주의해야 한다.




반응형

댓글