크로스 사이트 스크립트 (XSS)

Posted by nkjok
2018. 8. 23. 16:26 보안 공격 탐지/크로스 사이트 스크립트
반응형

XSS (Cross Site Scripting)

JAVA나 HTML언어 등을 사용하여 악의적인 스크립트를 작성해 특정 웹 브라우저에 심어놓고 불특정 다수에게 공격.


Stored XSS (저장 XSS)

게시글, 쪽지, 댓글 등에 JAVA, HTML언어로 악의적인 코드를 작성하여 공격.

 


예)

게시글

안녕 난 alert라고해.

<script> alert('xss'); </script> 


게시글에 스크립트를 포함해 작성. 해당게시글을 열람한 사용자는 script 코드를 통해 alert() 함수가 실행된다.


스크립트 코드는 열람한 사용자에게 보여지지 않음. 사용자는 공격당한것을 인지하지 못함.


공격의 결과로 피해자 웹 브라우저에서 악성 스크립트를 실행시키거나, 세션을 가로채어 해당 피해자 권한을 획득하거나, 악의적인 웹 사이트로 리다이렉트 시킬 수 있다.


- 쿠키 하이재킹 (Cookie Hijacking)

- 피싱 사이트 유도

- 악성 코드 유포


반응형