XSS
-
[WEBHACKING] CSRF에 대해서# 웹해킹 공부중 2020. 12. 3. 15:35
1. CSRF란? CSRF는 Cross-Site Request Forgery의 약자로 다른 사이트에서의 변조된 요청을 의미한다. 해당 공격은 공격자가 피해자의 권한으로 특정 행위를 하도록 인자값들을 구성해서 피해자가 본인도 모르게 본인의 권한으로 해당 사이트에 요청을 보내 하도록 하는 공격이다. 예를들어 패스워드를 변경한다던지 포인트를 다른 사람에게 선물하는 등 해당 사용자의 권한으로 할 수 있는 것들을 사용자 몰래 하게된다. 위와같은 코드를 피해자가 읽을만한 그리고 HTML 코드가 동작하는 곳에 입력해두고 사용자들이 해당 글을 읽으면 "target.com"으로 사용자 모르게 요청이 전송된다. 이런 공격이 가능한 이유는 해당 도메인으로 요청을 보낼 때 브라우저는 그 도메인에 대한 세션을 request에 ..
-
[WEBHACKING] XSS(Cross-Site Scripting)에 대해서# 웹해킹 공부중 2020. 11. 30. 04:03
1. XSS란? XSS는 Cross-Site Scripting의 약자로 교차 사이트 스크립팅이라고도 한다. 이미 CSS는 Cascading Style Sheets로 사용중이어서 Cross인 'X'를 약어로 사용한듯 하다. 사용자가 요청한 페이지에 강제로 악성 스크립트를 삽입해서 브라우저에서 악의적인 동작이 실행되도록 하는 공격기법이다. 1995년에 Javascript가 발표된 이후 2000년경 'MySpace'라는 플랫폼에서 XSS 취약점이 처음으로 보고된듯하다. 20년여가 지난 지금도 XSS는 취약점이 발생하고 관련 공격이 발생하면서 꾸준히 웹 취약점 빈도수 상위 10위권에 들고있다. 공격기법이 오래된 만큼 보안기법들도 계속 연구되어 발표되고 있으나 그만큼 우회기법들도 생겨나고있고 자바스크립트가 계속 ..