I. XSS (Cross Site Scripting) 개요
가. XSS 란?
웹 애플리케이션에서 많이 나타나는 취약점의 하나로, 웹사이트 관리자가 아닌 이가 웹 페이지에 클라이언트 사이드 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔 허용하는 취약점이다. 여러 사용자가 공유하여 이용하는 전자 게시판 형태의 웹 애플리케이션이 사이트 간 스크립팅 취약점을 가질 경우 특히 공격 대상이 되기 쉽다.
이 취약점은 사용자로부터 입력 받은 값을 웹 애플리케이션이 검사하지 않고 그대로 사용할 경우 나타난다. 주로 사용자의 정보(쿠키, 세션 등)를 탈취하기 위하여 사용되며, 특수 문자나 예약어, 스크립트를 나타내는 ', " , > , < , % , $ 등의 문자를 이용한다.
공격 대상 웹사이트에 삽입한 스크립트를 이용하여 다른 웹사이트로 접근하는 것도 가능하기 때문에 사이트 간 스크립팅이라고 한다. - 위키피디아
II. 유형
가. Client-to-client 방식
한 클라이언트에서 다른 클라이언트로 악의적인 코드가 전달되는 것이다. 게시판에 글을 쓴다든지 하는 방식으로 악의적인 코드를 전달할 수 잇다.
나. Client-to-itself 방식
악의적인 코드가 공격 대상이 되는 클라이언트 자신이 보내서 자신이 되돌려 받는 유형이다. 이러한 형태의 공격은 주로 이메일이나 웹페이지를 통해서 링크를 제시하고 사용자가 그 링크의 클릭을 유도하는 방식으로 이루어진다.
이 글은 스프링노트에서 작성되었습니다.
'보안' 카테고리의 다른 글
| SSL (Secure Socket Layer) (0) | 2011.02.21 |
|---|