웹 해킹

2.6 크로스 사이트 스크립팅

2.6.1 크로스 사이트 스크립팅

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

크로스 사이트 스크립팅이란 웹 페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도할 수 있다. 예를 들어 위와 같이 검증되지 않은 외부입력이 웹페이지 생성에 사용될 경우, 전송된 웹 페이지를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되어 정보 유출 등의 공격을 유발할 수 있다. 이 취약점으로 해커가 사용자의 정보를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있다.

 

 

 

 

 

XSS 공격 방법

 

 

→ Reflected XSS : 사용자가 입력한 값이 응답 페이지에서 실행되는 공격방법

 

 

→ Stored XSS : 주로 게시판의 악성 스크립트가 삽입된 형태로 공격이 이루어진다. 사용자 의 입력값을 그대로 저장해 출력하는 경우, 악의적인 사용자가 악성 스크립 트 글을 작성하게 되고 다른 사용자가 해당 글을 읽게 되면 악성코드가 실행 되는 방식이다.

 

 

 

 

 

 

 

2.6.2 쿠키 공격

쿠키는 인터넷 웹 사이트의 방문기록을 남겨서 사용자와 웹 사이트를 매개해주는 정보입니다. 예를 들어 어떤 사이트에 접속했을 때 처음에 아이디와 비밀번호를 입력하면 아이디와 비밀번호를 기록한 쿠키가 만들어지고 다음번에 접속했을 때 는 번거롭게 일일이 입력하지 않아도 접속이 가능합니다. 하지만 이러한 쿠키는 개인의 사생활을 침해할 우려도 있습니다. 인터넷에서 어떤 사이트에 접속했고 어떤 광고를 클릭했는지 사용자의 모든 기록이 저장되기 때문에 보안상의 문제를 유발하기도 합니다.

 

 

   

브라우저 쿠키 설정 방법

 

 

 

 

 

 

쿠키 공격 방법