1. XSS
XSS는 웹 응용 프로그램에서 볼 수 있는 컴퓨터 보안 취약점으로 사이버 범죄자가 사용자가 보는 웹 페이지에 클라이언트 측 스크립트를 주입할 수 있다. 공격자는 신뢰할 수 있는 웹 사이트를 방문할 때 공격자가 주입한 스크립트(대부분 자바스크립트로 작성됨)를 피해자의 브라우저에서 실행하도록 한다. 공격자는 피해자가 신뢰하는 웹 사이트에 자바스크립트를 주입하는 여러 가지 방법을 가지고 있을 것이다. 이는 인증된 세션이 필요하지 않으며, 취약한 웹 사이트가 입력을 확인하거나 탈출하는 기본 작업을 수행하지 않을 때 악용될 수 있다.
2. CSRF
사이트 간 요청 위조는 자신이 모르는 사이에 사용자의 정보를 변경하는 것부터 사용자의 계정에 완전히 액세스하는 것까지 다양한 방식으로 악용될 수 있는 가장 심각한 컴퓨터 보안 취약점 중 하나이다. 사이버 범죄자는 쿠키와 같은 기존 피해자의 컨텍스트를 활용하여 의도하지 않은 요청을 하도록 강요를 한다. 웹 사이트와 상호 작용할 때마다 해당 서버는 요청과 함께 보낸 쿠키를 확인하여 사용자임을 알린다.
XSS | CSRF |
공격자는 웹사이트에 악성 클라이언트 측 스크립트를 주입한다. 피해자에게 어떤 형태로든 취약성을 유발하기 위해 스크립트가 추가된 것이다. | 악의적인 공격은 사용자가 공격 사실을 인지하지 못한 채, 대상 웹사이트에 악의적인 요청을 보내는 방식으로 이루어진다. |
검증되지 않은 데이터로 임의의 데이터를 주입하는 것이다. | 공격 번들을 검색하고 실행하는 것은 브라우저의 기능과 특징에 따라 다르다. |
이 공격을 수행하려면 JavaScript가 필요하다. | 이 공격을 수행하는 데에는 JavaScript가 필요하지 않다. |
해당 사이트는 악성코드를 수용한다. | 악성코드는 해당 사이트가 아닌 제3자 사이트에 저장되어 있다. |
XSS 공격에 취약한 사이트는 CSRF 공격에도 취약하다. | XSS 공격 유형으로부터 완벽하게 보호되는 사이트라 해도 여전히 CSRF 공격에 취약하다. |
CSRF에 비해 더욱 피해가 크다. | XSS에 비해 상대적으로 피해가 적은 편이다. |
XSS 취약점을 이용하여 공격자는 자신이 원하는 모든 것을 할 수 있다. | CSRF 취약점을 사용하여 공격자는 취약한 URL이 수행하는 작업만 수행할 수 있다. |
728x90
'보안 > 개념' 카테고리의 다른 글
구글 클라우드 스토리지를 이용한 데이터 저장 (1) | 2024.02.19 |
---|---|
클라우드 빌링의 기초 정리 (0) | 2024.02.14 |
CSRF(Cross Site Request Forgery) 총정리 (0) | 2024.02.07 |
XSS(Cross Site Scripting) 총정리 (1) | 2024.02.07 |
웹 보안 고려사항 총정리 (0) | 2024.02.06 |