XSS(Cross Site Scripting / 사이트 간 스크립팅)

이해하기

웹에서 발생하는 취약점으로 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법입니다.

XSS는 SQL injection과 함께 웹 상에서 가장 기본적인 보안 취약점 공격 방법 입니다.

이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 보안화 하지 않을 경우 나타나며
공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 됩니다.

기본적인 공격 방법인 만큼 방법이 단순하고 쉽게 이해할 수 있습니다.

보안 취약점 점검에 필수 적인 보안화 항목이고 많은 웹사이트들이 기본적으로 보안화 하고 있습니다.

Cross-Site

삽입된 스크립트를 통해 다른 웹사이트와 정보를 교환하는 식으로 작동하기 때문에
Cross-Site 라는 이름이 붙게 되었다고 합니다.

OWASP Top10

XSS 공격은 OWASP Top10에 등록되어 있습니다.

XSS? CSS?

XSS(Cross Site Scripting)은 CSS라고 하는 것이 맞지만 이미 CSS(Cascading Style Sheets)가 오랫동안 사용되고 있어 XSS라고 한다고 합니다.

사례

• 대부분 사용자가 글을 읽고 쓸수 있는 게시판에서 많이 발생합니다.
• 사용자의 입력 값을 웹 페이지에 보여주는 곳에서도 발생합니다.
• 악의적인 사용자가 C&C 서버로 리다이렉션 하기 위해 리다이렉션 스크립트를 주입하여 중간 경유지로 활용 합니다.
• 사용자의 쿠키를 탈취하여 세션 하이재킹(Session Hijacking) 공격을 수행하기도 합니다.
• 의도치 않은 행동을 수행시키거나 쿠키나 세션 토큰 등의 민감한 정보를 탈취한다.