728x90
클라이언트 사이드 해킹: 이용자를 식별하기 위한 세션 및 쿠키 정보를 탈취하고 해당 계정으로 임의 기능 수행
XSS: 공격자가 웹 리소스에 악성 스크립트를 삽입하고 이용자의 웹 브라우저에서 실행시켜 세션정보를 탈취함.
| 종류 | 설명 |
| Stored XSS | XSS에 사용되는 악성 스크립트가 서버에 저장되고 서버의 응답에 담겨오는 XSS |
| Reflected XSS | XSS에 사용되는 악성 스크립트가 URL에 삽입되고 서버의 응답에 담겨오는 XSS |
| DOM-based XSS | XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS * Fragment는 서버 요청/응답 에 포함되지 않습니다. |
| Universal XSS | 클라이언트의 브라우저 혹은 브라우저의 플러그인에서 발생하는 취약점으로 SOP 정책을 우회하는 XSS |
Stored XSS
서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성스크립트를 조회할때 발생하는 XSS
ex)
게시물과 댓글에 악성 스크립트를 포함해 업로드 하는 방식.
Reflected XSS
서버가 악성 스크립트가 담긴 요청을 출력할때 발생
- 이용자의 요청에 의해 발생하므로 공격을 위해서 악성스크립트가 포함된 링크에 접속하도록 유도함.
- click jacking 혹은 open redirect 등 다른 취약점과 연계해서 사용
ex) 쿼리를 사용해서 게시물을 조회하는 기능
해결방법
- 악성 태그를 필터링하는 HTML Sanitization 사용
- 엔티티 코드로 치환
'STUDY > Web' 카테고리의 다른 글
| SQL Injection (2) | 2023.09.04 |
|---|---|
| CSRF, Cross Site Request Forgery (0) | 2023.09.04 |
| SOP & CORS (0) | 2023.09.04 |
| Cookie & Session (0) | 2023.09.04 |
| 배포 자동화 (4) HTTPS 적용 및 Nginx 설정 (2) | 2022.01.04 |