x
XSS (Cross site scripting) 본문
XSS(Cross Site Scripting)는 공격자에 의해 작성된 스크립트가 다른 사용자에게 전달되는 것이다. 다른 사용자의 웹 브라우저 내에서 적절한 검증 없이 실행되기 때문에 사용자의 세션을 탈취하거나, 웹 사이트를 변조하거나 혹은 악의적인 사이트로 사용자를 이동시킬 수 있다. XSS은 일반적으로 [그림 4-39]와 같은 구조를 통해 이루어진다.
① 임의의 XSS 취약점이 존재하는 서버에 XSS 코드를 작성하여 저장한다. 일반적으로 공격자는 임의의 사용자 또는 특정인이 이용하는 게시판을 이용한다.
② 해당 웹 서비스 사용자가 공격자가 작성해놓은 XSS 코드에 접근한다. 물론 사용자는 본인이 공격자가 작성해놓은 XSS 코드에 접근하는 것을 인지하지 못한다. 사용자는 어떤 게시판의 글을 읽는 과정에서 공격자의 XSS 코드에 접근한다.
③ 웹 서버는 사용자가 접근한 XSS 코드가 포함된 게시판의 글을 사용자에게 전달한다.
④ 사용자 시스템에서 XSS 코드가 실행된다.
⑤ XSS 코드가 실행된 결과가 공격자에게 전달되고 공격자는 공격을 종료한다.
'공부 > 웹' 카테고리의 다른 글
Javascript (0) | 2017.01.29 |
---|---|
webhacking.kr 26 url encoding (0) | 2017.01.28 |
Webhacking.kr 24 쿠키값 변조 (0) | 2017.01.28 |
HTML (0) | 2017.01.27 |
PHP (0) | 2017.01.26 |
Comments