반응형
XSS(Cross Site Scripting) 공격 특징
공격자가 상대방의 브라우저에서 스크립트가 실행되도록 만드는 방식이다.
사용자의 세션을 가로채기, 웹사이트 변조, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것
주로 스크립트 코드를 삽입해서 입력이 되면 위와 같은 공격이 진행된다.
XSS 공격 대상
사이트를 방문하는 무차별적인 사람을 대상으로 공격한다. 즉, 게시판에 글을 올리면 클릭하는 사람을 대상이 피해자가 된다.
사용자가 XSS를 예방하는 방법
홈페이지 시스템에서 게시글 올려보기
예) 안녕하세요 <script> alert('XSS 취약점 점검') </script> 테스트합니다.
이렇게 스크립트에서 경고창 띄우는 함수 사용하여 글을 올림
내가 올린 게시판을 클릭하여 경고창이 뜨면 해당 사이트 사용 금지
언제까지? 조치될 때까지 사용하지 말아야 한다.
CSRF(Cross-site request forgery) 공격 특징
사용자가 특정 웹사이트를 공격자가 원하는 방식으로 공격하게 만드는 방식이다.
흔히 사용하는 방법은 이메일로 사이트에 로그인하게 만들게 하는 링크를 건다. 예) 계좌이체 링크
클릭하게 되면 로그인하고, 공격자가 의도한 대로 돈을 자동으로 송금된다.
CSRF 공격 대상
특정 서비스를 제공하는 서버를 대상으로 한다.
사용자가 CSRF를 예방하는 방법
1. 사용하지 않는 웹페이지 로그아웃
2. 사용자 이름 및 암호 보안하기
3. 브라우저가 비밀번호 기억하지 못하게 하기
정리
- XSS와 CSRF는 둘 다 스크립트 공격이다.
- XSS는 사용자(희생자)의 PC에서 스크립트가 실행된다.
- CSRF는 서버에서 스크립트가 실행된다.
반응형
'IT > 앱사용방법' 카테고리의 다른 글
| 시큐어코딩) 파이썬 파일 업로드 공격 예방 하는 방법(기초) (0) | 2022.06.02 |
|---|---|
| 시큐어코딩) 파이썬 경로조작, 자원삽입 공격 예방하는 방법(기초 예시) (0) | 2022.06.01 |
| 시큐어코딩) 파이썬 코드 삽입 공격 예방 코드 설명(기초) (0) | 2022.05.21 |
| 시큐어코딩) 파이썬 SQL 인젝션 공격 예방코드 기초 (0) | 2022.05.19 |
| 무선인터넷(와이파이) 사용하면서 속도 느릴 때 원인 진단과 해결방법 (0) | 2022.05.14 |