300x250
Xss(Cross-Site Scripting)
* 스크립트 구문을 제한하지 않는 곳에 악의적인 스크립트를 삽입함으로써 희생자에게 타격을 주는 공격
* 공격자가 HTML 페이지에 의도적으로 스크립트를 삽입해서 사용자를 공격하는 기법입니다.
XSS 공격은 stored XSS와 Reflected XSS로 나눌 수 있습니다.
- Stored XSS : 게시판, 방명록, 댓글 등을 통해 공격 스크립트를 웹 서버에 저장합니다.
일반 사용자가 공격자가 올린 글을 확인할 경우, 웹 브라우저에 공격자가 의도한 스크립트가 실행됩니다.
- Reflected XSS : 취약한 URL 인자에 스크립트를 삽입하는 방법입니다. 공격자가 공격 스크립트가 포함된 URL 링크를
희생자에게 보냅니다. 희생자가 링크를 클릭하면, 공격자의 의도대로 스크립트가 실행됩니다.
EX) XSS 실습 예시
** 이전에 만든 php 게시판을 활용합니다.
** content에 <script>alert(" 메시지 " )</script> 라고 입력을 합니다.
** 메시지가 저장된 것을 확인하고 클릭합니다.
** 클릭하면 content에 입력했던 스크립트문이 실행되어 alert 창이 생성됩니다.
반응형
'IT Security' 카테고리의 다른 글
| 정보보안) IDS (침입 탐지 시스템)의 기능, 목적 (0) | 2018.01.27 |
|---|---|
| 정보보안) 방화벽 기능, 목적 (0) | 2018.01.25 |
| 정보보안 - Blind SQL Injection (0) | 2017.10.11 |
| php 게시판 만들기 (3) | 2017.10.02 |
| iOS 11 - iOS 10.2와 10.3.3버전 브로드컴 칩 취약점 발견 (0) | 2017.09.29 |