XSS (Cross site scripting)

XSS(Cross Site Scripting)는 공격자에 의해 작성된 스크립트가 다른 사용자에게 전달되는 것이다. 다른 사용자의 웹 브라우저 내에서 적절한 검증 없이 실행되기 때문에 사용자의 세션을 탈취하거나, 웹 사이트를 변조하거나 혹은 악의적인 사이트로 사용자를 이동시킬 수 있다. XSS은 일반적으로 [그림 4-39]와 같은 구조를 통해 이루어진다.

① 임의의 XSS 취약점이 존재하는 서버에 XSS 코드를 작성하여 저장한다. 일반적으로 공격자는 임의의 사용자 또는 특정인이 이용하는 게시판을 이용한다.
② 해당 웹 서비스 사용자가 공격자가 작성해놓은 XSS 코드에 접근한다. 물론 사용자는 본인이 공격자가 작성해놓은 XSS 코드에 접근하는 것을 인지하지 못한다. 사용자는 어떤 게시판의 글을 읽는 과정에서 공격자의 XSS 코드에 접근한다.
③ 웹 서버는 사용자가 접근한 XSS 코드가 포함된 게시판의 글을 사용자에게 전달한다.
④ 사용자 시스템에서 XSS 코드가 실행된다.
⑤ XSS 코드가 실행된 결과가 공격자에게 전달되고 공격자는 공격을 종료한다.

http://terms.naver.com/entry.nhn?docId=3431916&categoryId=58437&cid=58437