자바스크립트 브라우저 XSS에 대한 이해
자바스크립트 브라우저 XSS에 대한 이해
XSS란 무엇인가?
XSS는 Cross Site Scripting의 약자로서, 웹 사이트에 악성 스크립트를 삽입하여 사용자 브라우저에서 동작하는 공격 기법입니다. 이를 통해 사용자의 계정 정보를 탈취하거나 웹 사이트에 피해를 입힐 수 있습니다.
XSS 공격 종류
– Reflected XSS: 입력값을 그대로 출력하는 웹사이트에 악성 스크립트를 삽입하여 출력되는 결과에 스크립트가 동작하도록 하는 공격 기법.
<script>alert('Reflected XSS Attack')</script>– Stored XSS: 웹사이트에 악성 스크립트를 저장하여 모든 방문자가 해당 스크립트를 실행하도록 하는 공격 기법.
<script>alert('Stored XSS Attack')</script>– DOM-based XSS: 클라이언트 사이드 스크립트로 웹사이트의 동적인 페이지를 변경하여 악성 스크립트를 실행시키는 공격 기법.
<script>document.getElementById('commentBox').innerHTML = '<script>alert(\'DOM-based XSS Attack\')</script>';</script>XSS 방어 기술
– 입력 값 검증: 입력된 값이 적절한지 확인하여 악성 스크립트를 걸러내는 기술.
– 출력 값 이스케이핑: 출력되는 값 중에서 HTML, CSS, JavaScript 등을 필터링하여 안전한 값으로 바꾸는 기술.
– Content Security Policy (CSP) 사용: 웹사이트에서 사용할 수 있는 리소스의 경로를 정하여, XSS 공격으로부터 지켜내는 기술.
자바스크립트 브라우저 XSS
자바스크립트를 이용한 XSS 공격은 브라우저 취약성과 연관이 깊습니다. 브라우저에서는 기본 보안 설정이 되어 있지만, 이 설정이 잘못 설정되어 있거나 공격자가 보안 취약점을 악용하여 XSS 공격을 시도합니다. 자바스크립트 브라우저 XSS 공격으로부터 보호하기 위해서는 브라우저의 보안 설정을 철저하게 하여, 악성 스크립트가 삽입되는 것을 차단하여야 합니다.