XSS(Cross-site scripting)
웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점
주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다.
이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타남
이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있다.
CSRF(Cross-site request forgery)
웹사이트 취약점 공격의 하나로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격
일단 사용자가 웹사이트에 로그인한 상태에서 CSRF 공격 코드가 삽입된 페이지를 열면,
공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.
XSS/CSRF 차이점
XSS을 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,
CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것
'Gift > Security' 카테고리의 다른 글
칼리리눅스 DVWA 설치 (웹 모의해킹 환경 구성) (0) | 2017.11.23 |
---|---|
정보보안산업기사/기사 10회 실기문제 (0) | 2017.11.11 |
2017 보안위협 OWASP TOP 10 (한글) (1) | 2017.10.29 |
와이파이(Wifi) WPA2 방식 취약점 (0) | 2017.10.27 |
IP 카메라 해킹 방지하기 (0) | 2017.09.20 |