자바스크립트 브라우저 XSS에 대한 이해

Photo of author

By tutor

자바스크립트 브라우저 XSS에 대한 이해

자바스크립트 브라우저 XSS에 대한 이해

 

자바스크립트 브라우저 XSS에 대한 이해

XSS란 무엇인가?

XSS는 Cross Site Scripting의 약자로서, 웹 사이트에 악성 스크립트를 삽입하여 사용자 브라우저에서 동작하는 공격 기법입니다. 이를 통해 사용자의 계정 정보를 탈취하거나 웹 사이트에 피해를 입힐 수 있습니다.

XSS 공격 종류

– Reflected XSS: 입력값을 그대로 출력하는 웹사이트에 악성 스크립트를 삽입하여 출력되는 결과에 스크립트가 동작하도록 하는 공격 기법.

<script>alert('Reflected XSS Attack')</script>

– Stored XSS: 웹사이트에 악성 스크립트를 저장하여 모든 방문자가 해당 스크립트를 실행하도록 하는 공격 기법.

<script>alert('Stored XSS Attack')</script>

– DOM-based XSS: 클라이언트 사이드 스크립트로 웹사이트의 동적인 페이지를 변경하여 악성 스크립트를 실행시키는 공격 기법.

<script>document.getElementById('commentBox').innerHTML = '<script>alert(\'DOM-based XSS Attack\')</script>';</script>

XSS 방어 기술

– 입력 값 검증: 입력된 값이 적절한지 확인하여 악성 스크립트를 걸러내는 기술.
– 출력 값 이스케이핑: 출력되는 값 중에서 HTML, CSS, JavaScript 등을 필터링하여 안전한 값으로 바꾸는 기술.
– Content Security Policy (CSP) 사용: 웹사이트에서 사용할 수 있는 리소스의 경로를 정하여, XSS 공격으로부터 지켜내는 기술.

자바스크립트 브라우저 XSS

자바스크립트를 이용한 XSS 공격은 브라우저 취약성과 연관이 깊습니다. 브라우저에서는 기본 보안 설정이 되어 있지만, 이 설정이 잘못 설정되어 있거나 공격자가 보안 취약점을 악용하여 XSS 공격을 시도합니다. 자바스크립트 브라우저 XSS 공격으로부터 보호하기 위해서는 브라우저의 보안 설정을 철저하게 하여, 악성 스크립트가 삽입되는 것을 차단하여야 합니다.