browser security
-
[Browser Security] XSS, CSRF카테고리 없음 2020. 2. 26. 00:15
* XSS (Cross-Site Scripting)사용자가 입력한 정보를 출력할 때, 스크립트가 실행되도록 하는 공격 방식이다. 사용자의 사적인 데이터, 이를테면 로그인 시 쿠키정보 등을 공격자의 사이트로 전송한다거나 사용자가 의도하지 않은 행동들을 하도록 한다. 예를 들어 사용자1이 인터넷 게시판에 글을 쓰면, 해당 내용은 서버로 전송되고 서버의 DB에 저장된다. 그리고 사용자2가 서버를 통해 해당 글 내용을 전송받는다. 공격자는 게시판에 글이 아니라 스크립트를 심어놓는다. 스크립트는 서버로 전송되고, DB에 저장된다. 그리고 피해자가 서버를 통해 해당 게시글을 열면 피해자의 브라우저에서 공격자가 심어놓은 스크립트가 실행된다. 스크립트 내에는 브라우저 내 쿠키에 저장된 피해자의 개인정보를 공격자의 서버..