반응형
XXS 란?
공격자가 삽입한 스크립트가 악의적인 행위를 발생시켜 사용자를 공격하는 취약점이다.
공격은 일반적으로 게시판의 입력 폼 매개변수 등에 스크립트를 삽입하고 이를 사용자가 읽어 들이면 스크립트가 실행되어 사용자 쿠기를 가로채거나 특정 사이트로 강제 이동시키는 등 의도하지 않은 행위를 하도록 만든다.
스크립트가 실행되는 것을 사용자가 인지하지 못하도록 숨길 수 있으며 특히 탈취된 쿠기에 인증 정보가 포함되어 있는 경우 권한 도용이 발생 할 수 있으므로 주의가 필요하다.
Relected XSS
의미 그대로 "반사적인" 의미를 지니고 있다. 사용자에게 이메일,메신저 ,게시판 링크 기능 등을 이용하여 요도하게 되며 사용자는 이를 클릭하였을 경우 액션이 발생한다. 하지만, 웹 사이트에 저장이 되어 있지 않기 때문에 사용들을 유도하기 위해서는 클릭이 필요하다.
Store XSS
"저장된" 의미를 가지고 있다. 이는 게시판 작성자, 제목, 내용 부분 등 공격자가 삽입할 수 있는 모든 부분에 스크립트를 삽입하여 사용자를 유도하는 공격 기법이다.
대응방안
특수문자를 일반문자로 치환하여 처리
-기본적으로 매개변수에 태그,스크립트에 사용되는 특수문자가 존재하는지 검사하고 해당 문자들이 실행되지 않는 문자로 치환 될 수 있도록 처리한다.
| 변환 대상 | 변환 값 | 변환 대상 | 변환 값 |
| < | < | ) | ) |
| > | > | # | # |
| ( | ( | & | & |
| " | " | ' | ' |
| / | $#x2f; |
'보안관련 및 네트워크' 카테고리의 다른 글
| Global CDN 인프라 개선 (0) | 2021.07.14 |
|---|---|
| L4 Load Balance 방식 (0) | 2021.05.27 |
| 검증되지 않는 Redirect 와 Foward (0) | 2021.05.24 |
| 파일 다운로드 취약점 보안 (0) | 2021.05.23 |
| SQL Injection 조치 (0) | 2021.05.04 |
