[Week5] XSS(Cross-Site Scripting) 개념

1. XSS(Cross-Site Scripting)이란??

XSS(크로스 사이트 스크립팅)은 공격자가 공격하려는 웹사이트에 악성스크립트를 삽입하여 웹사이트 사용자의 웹브라우저에서 해당 코드가 실행되는 공격 기법.

해당, 공격 기법의 경우 사용자가 의도하지 않은 행동을 하거나 쿠키,세션 등의 정보를 탈취하여 세션 하이재킹(Session hijacking) 공격에 사용되기도 합니다.

2. XSS (Cross-Site Scripting)공격 유형

Reflected XSS 패턴
1. 악의적인 사용자가 보안이 취약한 사이트 발견
2. 보안이 취약한 사이트에서  악의적인 스크립트가 담긴 URL을 만들어 일반 사용자에게 스팸 메일로 전달
3. 일반 사용자는 메일을 통해 전달받은 URL 링크를 통해 접속.일반 사용자 브라우저에서 보안이 취약한 사이트로 요청을 전달
4. 일반 사용자의 브라우저에서 응답 메세지가 실행되며 악성 스크립트 실행
5. 악성 스크립트를 통해 사용자 정보가 악의적인 사용자에게 전달

Stored XSS 패턴
1. 악의적인 사용자가 보안이 취약한 사이트 발견
2. 보안이 취약한 사이트에 있는 게시판,댓글,파일에 악성 스크립트 작성
3. 일반 사용자는 해당 게시글 및 댓글을 읽거나 파일을 다운로드 받을 경우 서버로부터 악성 스크립트 응답 받음
4. 일반 사용자의 웹브라우저에서 응답메세지를 실행하게 되어 악성 스크립트가 같이 실행
5. 악성 스크립트를 통해 일반 사용자의 정보가 악의적인 사용자에게 전달

DOM XSS 패턴
1. 악의적인 사용자가 보안이 취약한 사이트 발견
2. 해당 웹페이지에 악성 스크립트가 실행되도록 URL주소를 작성 및 일반 사용자에게 메일 전달
3. 일반 사용자는 메일의 URL을 클릭하게되면 서버로부터 HTML과 같은 문서를 전달받음
4. 사용자의 웹브라우저가 응답받은 HTML을 읽게 되면서 악성 스크립트가 실행
5. 악성 스크립트를 통해 일반 사용자의 정보가 악의적인 사용자에게 전달

개념정도만 정리해보았습니다.