본문 바로가기

CS(Computer Science, 컴퓨터 공학)

(2)

[Network(네트워크)] XSS(Cross Site Scripting, 사이트 간 스크립팅) _디버깅의 눈물 XSS(Cross Site Scripting, 사이트 간 스크립팅)이란? 공격자가 악성 스크립트를 삽입하여 사용자의 브라우저에서 실행되도록 하는 공격입니다. XSS 공격의 예시 Reflected XSS(반사 XSS)의 경우, 공격자가 피싱 메일이나 SNS 등을 통해 악성 스크립트 코드가 삽입된 링크를 보냅니다. 피해자가 그 링크를 클릭하면, 웹 사이트에 스크립트 코드가 반영되어 실행됩니다. 이때 스크립트 코드는 피해자의 세션 쿠키나 개인정보 등을 탈취할 수 있습니다. Stored XSS(저장 XSS)의 경우, 공격자가 게시판이나 댓글 등 입력 form에 악성 스크립트 코드를 작성합니다. 다른 사용자가 그 글을 열람하면 웹 페이지에 스크립트 코드가 저장되어 실행됩니다. 이때 스크립트 코드는 사용자의 브라우..

[Network(네트워크)] CSRF(Cross Site Request Forgery, 사이트 간 요청 위조) _디버깅의 눈물 CSRF(Cross Site Request Forgery, 사이트 간 요청 위조)란? ‘사이트 간 요청 위조’는 공격자가 인증된 사용자의 권한을 빼앗아, 특정 웹 사이트에 사용자가 의도치 않은 악의적인 요청(request)을 하도록 하는 것입니다. 사용자가 웹 사이트에 로그인한 상태에서 사이트 간 위조 요청 공격 코드가 삽입된 페이지를 열게 됩니다. 그러면 공격 대상이 되는 웹 사이트는 '위조된 공격 명령을 믿을 수 있는 사용자로부터 발송된 것으로 판단해' 위험에 노출됩니다. CSRF의 과정 1.공격자는 사용자가 신뢰하는 웹 사이트에 악성 코드를 삽입한 게시물을 등록합니다. 2.로그인이 되어 있는 사용자는 해당 게시물의 조회를 요청하면서 악성 코드를 실행하게 됩니다. 3.접속된 악성 웹 사이트에서 공격자..

티스토리툴바