크로스 사이트 스크립트(XSS)
공격자가 입력 가능한 폼에 악의적인 스크립트를 삽입하여 희생자 측에서 실행되도록 하여 개인정보 및 쿠키 정보 취득
Stored XSS
게시판 등의 입력폼을 통해 악성스크립트를 DB에 저장하여 희생자가 요청할 때 클라이언트 측에서 실행되는 방식
* 특수문자를 Escape 처리
htmlspecialchars()
Reflected XSS
외부의 악성 스크립트가 희생자 액션에 의해 취약한 웹서버로 전달. 응답 페이지에 악성 스크립트를 삽입하는 방식
DOM based XSS
희생자의 웹 브라우저에서 응답 페이지에 포함된 자바스크립트가 동작하면서 DOM 객체를 실행할 때 악성 스크립트가 동작하는 방식
해결방안
* 서버 단에서 입력 값 검증 필요
* 특수문자를 일반 문자로 치환 처리
'공부 > 정보보안기사' 카테고리의 다른 글
| 웹 애플리케이션 취약점 - SSRF (0) | 2024.11.15 |
|---|---|
| 웹 애플리케이션 취약점 - CSRF (0) | 2024.11.14 |
| 웹 애플리케이션 취약점 - SQL Injection (2) | 2024.11.12 |
| 애플리케이션 기본 - SNMP (0) | 2024.11.11 |
| 애플리케이션 기본 - FTP (1) | 2024.11.10 |