수달정보보호

1. XSS XSS는 웹 응용 프로그램에서 볼 수 있는 컴퓨터 보안 취약점으로 사이버 범죄자가 사용자가 보는 웹 페이지에 클라이언트 측 스크립트를 주입할 수 있다. 공격자는 신뢰할 수 있는 웹 사이트를 방문할 때 공격자가 주입한 스크립트(대부분 자바스크립트로 작성됨)를 피해자의 브라우저에서 실행하도록 한다. 공격자는 피해자가 신뢰하는 웹 사이트에 자바스크립트를 주입하는 여러 가지 방법을 가지고 있을 것이다. 이는 인증된 세션이 필요하지 않으며, 취약한 웹 사이트가 입력을 확인하거나 탈출하는 기본 작업을 수행하지 않을 때 악용될 수 있다. 2. CSRF 사이트 간 요청 위조는 자신이 모르는 사이에 사용자의 정보를 변경하는 것부터 사용자의 계정에 완전히 액세스하는 것까지 다양한 방식으로 악용될 수 있는 가장..

1. CSRF의 개념 사이트 간 요청 위조(CSRF)는 사용자가 모르는 사이에 사용자의 정보를 변경하는 것부터 사용자의 계정에 완전히 액세스하는 것까지 다양한 방식으로 악용될 수 있는 가장 심각한 취약성 중 하나이다. 현시대에 거의 모든 웹사이트는 사용자의 세션을 유지하기 위해 쿠키를 사용한다. 컴퓨터에 잘 몰라도 쿠키에 대해서는 들어봤을 정도로 유명하니 말 다한 셈이다. HTTP는 사실 "상태 없는" 프로토콜이기 때문에, 일련의 요청에 대해 사용자가 인증된 상태를 유지할 수 있는 내장된 방법이 없다고 할 수 있다. 매 작업마다 사용자에게 자격 증명을 묻는 것은 사용자 경험 측면에서 불편한, 정말이지 불편하기 짝이 없는 아이디어이기 때문에 쿠키가 사용되는 것이다. 쿠키는 이 목적을 위해 매우 효율적이고 ..

1. XSS의 개념 XSS(Cross Site Scripting)는 웹 응용 프로그램의 취약점으로, 웹 응용 프로그램을 대신하여 제3자가 사용자의 브라우저에서 스크립트를 실행할 수 있는 공격의 개념이다. 사이트 간 스크립팅은 현시대의 웹에 존재하는 가장 널리 퍼진 취약점 중 하나이다. 사용자에 대한 XSS의 공격은 계정 손상, 계정 삭제, 권한 상승, 멀웨어 감염 등과 같은 다양한 결과를 초래할 수 있을 것이다. 초창기에는 CSS라고 불렸는데, 지금의 XSS와 완전히 같은 양상을 보인 공격이라고는 할 수 없다. 처음에는 악성 웹사이트가 자바스크립트를 이용하여 다른 웹사이트의 응답을 iframe에 포함시켜 읽고, 스크립트를 실행하여 페이지 내용을 수정하는 방식이었다. 그때는 분명 CSS라고 부르던 시절이다..