 |
인터넷 해킹과 보안 4판 김경곤 한빛아카데미 |
1. 웹 사이트에서 개인을 구별하기 위해 만든 것으로 클라이언트 측에 저장해두는 것은 쿠키
2. XSS는 Cross Site Scripting 의 약자다
3. XSS 공격을 통해 공격자가 일차적으로 얻고자 하는 정보는 사용자가 웹 서버로 전송하는 고유 쿠키 값 정보
4. CSRF는 Cross Site Request Forgery 의 약자다
5. XSS 취약점을 찾는 방법 중 하나인 스크립트 검증 예시로 사용되는 코드
"><script>alert(document.cookie)</script>
"><ScRiPt>alert(document.cookie)</ScRiPt>
"%3e%3cscript%3ealert(document.cookie)%3c/script%3e
"><scr<script>ipt>alert(document.cookie)</scr</script>ipt>
%00"><script>alert(document.cookie)</script>
6. XSS 공격
- 사용자가 조회하는 웹 페이지에 스크립트를 삽입하는 간단한 방식이지만 웹 애플리케이션 사용자를 공격하는 기법 중 최고 높은 파괴력을 가지고 있다. 다른 사용자의 정보를 추출하는 공격 기법으로 입력을 받아들이는 부분의 스크립트 코드를 필터링하지 않음으로써 공격자가 스크립트 코드를 실행할 수 있다.
7. XSS 공격 유형 중 Reflected XSS, Stored XSS 의 차이점
- 가장 일반적인 XSS 공격 유형인 Stored XSS는 사용자가 글을 저장하는 부분에 정상적인 평문이 아니라 스크립트 코드를 입력하여 다른 사용자가 게시물을 열람하면 공격자가 입력해둔 악성 스크립트가 실행되어 사용자의 쿠키 정보가 유출되거나 악성 스크립트가 기획한 공격에 속수무책으로 당하게 되는 것이다. 자동 스캔하면 서비스에 영향을 줄 수 있으므로 수동 점검하고 반면 Reflected XSS는 URL의 변수 부분처럼 스크립트 코드를 입력하는 동시에 결과가 바로 전해지는 공격 기법으로 자동 스캐너를 이용해 사용자의 입력에 대한 서버 검증 없이 웹 브라우저로 전달될 때 발생한다.
https://velog.io/@kylexid/XSS-Cross-Site-Scripting
Stored XSS (저장형 XSS)
- 공격자가 악의적인 스크립트를 삽입하여 서버에 저장됨
- 해당 스크립트가 저장된 정상적인 서비스페이지에 접근할 때 클라이언트측에 스크립트가 노출되고 동작하게 되는 방식
flow
- 공격자가 악의적인 스크립트가 담긴 게시물을 등록
- 데이터베이스에 해당 스크립트가 저장됨
- 사용자가 게시글을 읽음
- 스크립트가 실행됨
공격 예시
Reflected XSS (반사형 XSS)
- 웹 어플리케이션의 지정된 파라미터를 사용할 때 발생하는 취약점을 이용한 공격법
- 검색어같은 쿼리스트링을 URL에 담아 전송했을 때, 서버가 필터링을 거치지않고 쿼리에 포함된 스크립트를 응답페이지에 담아 전송함으로써 발생
- 공격용 스크립트가 대상 웹사이트에 있지않고, 다른 매체 ( 타 사이트, 이메일 ) 에 포함될 수 있다.
- Stored XSS는 데이터베이스에 스크립트가 저장되지 않고 응답 페이지로 바로 클라이언트에 전달된다는 차이점이 있다.
flow
- 악의적인 스크립트를 URL에 담아 공유
- 해당링크 클릭시 스크립트 삽입된 페이지로 연결
공격 예시
- 지정된 파라미터에 script 입력이 필터링 없이 그대로 스크립트를 응답페이지에 전송함으로써 실행되는걸 볼 수 있다.
8. CRSF 공격이란 크로스 사이트 요청 변조로 피해자가 인지하지 못하는 상태에서 피해자의 브라우저가 특정 사이트에 강제적으로 요청을 보내도록 하는 기법이다. 취약한 웹 서버에서 공격자가 악성코드를 삽입해두면 사용자는 악성코드가 삽입된 웹 서버에 방문하여 게시물을 클릭하고 악성 스크립트에 의한 액션에 의해 개인정보 수정, 회원 탈퇴 등 임의의 행동을 수행하게 된다
'[ Computer Security ] > Web Security' 카테고리의 다른 글
| [웹보안] 인터넷 해킹과 보안 연습문제 8장 (0) | 2024.04.29 |
|---|---|
| [웹보안] 인터넷 해킹과 보안 연습문제 7장 (0) | 2024.04.29 |
| [웹보안] 인터넷 해킹과 보안 연습문제 6장 (0) | 2024.04.29 |
| [웹보안] 인터넷 해킹과 보안 연습문제 4장 (0) | 2024.04.29 |
| [웹보안] 인터넷 해킹과 보안 연습문제 3장 (0) | 2024.04.29 |
| [웹보안] 인터넷 해킹과 보안 연습문제 2장 (0) | 2024.04.29 |
| [웹보안] 인터넷 해킹과 보안 연습문제 1장 (0) | 2024.04.29 |
