크로스 사이트 스크립팅(XSS : cross-site scropting)
크로스 사이트 스크립팅(XSS : cross-site scropting) 크로스 사이트 스크립팅(XSS : cross-site scropting) XSS는 사이트 공격자가 목표 사이트에 HTML 태그나 크립트를 집어넣는 보안 문제를 일컫는 말이다. 좀 더 자세히 설명을 하자면, 취약한 웹 사이트에 악성 스크립트를 포함할 수 있는 손쉬운 방법 중 하나로 공격자들이 가장 많이 선호하는 방식 중 하나이다. XSS 취약점은 OWASP Top 10 -2013에도 여전히 3번째 높은 위험으로 매겨져 있으며, 취약점분포도도 '매우 광범위'한 수준으로 본 취약점은 조직의 정보 자산을 보호하는데 가장 큰 위험 중 하나라고 할 수 있다. 개요 XSS 공격은 웹 응용에 존재하는 취약점을 기반으로 웹 서버와 클라이언트간 통신 방식인 HTTP 프로토콜 동작과정 중에 발생한다. HTTP 프로토콜이란 웹 서버와 클라이언트간 서버에 저장된 웹 문서(일반적으로 HTML, 스크립트, 이미지 등을 클라이언트로 전달하기 위한 표준 규약이다. 먼저 클라이언트(브라우저)는 서버로 해더 정보를 포함하여 관련 정보를 요청(request)하면, 웹 서버는 클라이언트의 요청을 분석하여 요청한 자원 데이터 및 해더를 포함하여 클라이언트로 응답(response)을 보낸다. XSS 공격은 브라우저로 전달되는 데이터에 악성 스크립트가 포함되어 개인의 브라우저에서 실행되면서 해킹을 하는 것이며, 이 공격용 악성 스크립트는 공격자가 웹 서버에 구현된 웹 애플리케이션의 XSS 취약점을 이용하여 서버 측 또는 URL에 미리 삽입을 해놓은 것이다. XSS 취약점 웹 애플리케이션 보안 연구재단인 OWASP에 따르면 "크로스 사이트 스크립팅(XSS)는 애플리케이션에서 브라우저로 전송하는 페이지에서 사용자가 입력하는 데이터를 검증하지 않거나, 출력 시 위험 데이터를 무효화 시키지 않을 때 발생한다."라고 정의되어 있다. 즉 공격자가 의도적으로 브라우저에서 실행될 수 있...
댓글
댓글 쓰기