Web 보안/Web Hacking

XSS (Cross-site Scripting)

byeong07 2016. 10. 17. 00:23

XSS (Cross-site Scripting)

 

공격자가 사이트 내에 Script를 삽입하여 공격자가 원하는 대로의 행동을 하도록 만드는 것이다.

 XSS는 크게 두 가지 방식으로 나뉜다.

 

- Stored XSS

- Reflected XSS

 

1) Stored XSS

- 게시글 이나 댓글 등에 Script 문을 삽입하여 공격하는 방법

 

- 공격이 성공하면 사용자들은 게시글 이나 댓글을 보는 것만으로도 피해를 입는다.

 

공격에 사용되는 Script문은 해당 글을 클릭 시 배너를 띄우는 것부터 글을 클릭하는 모든 사용자에 대한 Cookie 값을 탈취하는 등 여러 가지 방법으로 사용된다.

 

2) Reflected XSS

- Stored XSS와 달리 사이트의 특정 Parameter에서 스크립트를 실행하는 방법

 

- 공격자는 사용자들에게 메일이나 쪽지를 보내서 url 클릭을 유도해서 공격하게 된다.

 

예를 들어 공격자가 악성 Script를 심어놓은 url을 준비하여 사용자로 하여금 해당 url로 접속 하도록 유도하여 필요한 정보를 취득하는 공격이다.

 

 

                                                  XSS 동작원리

 

                                                                          출처 : http://ghlee.tistory.com/107

 

 

 

 

'Web 보안 > Web Hacking' 카테고리의 다른 글

Cookie  (0) 2016.10.15
Web Session Hijacking  (0) 2016.10.15