XSS1 [Day 44] XSS, CSRF XSS(Cross Site Script) 입력값 검증이 적용되지 않은 폼(웹 브라우저 URL, 게시판 등)에 악의적인 스크립트를 삽입하는 공격 사용자 PC에서 스크립트가 실행됨 공격절차 공격자가 악성 스크립트를 포함한 게시글 등록 사용자가 악성 스크립트가 포함된 게시글을 열면, 사용자 PC에서 스크립트가 동작함(세션 or 개인정보 탈취 등) CSRF(Cross Site Request Forgery) 정상적인 경로를 통한 요청인지 비정상적인 경로를 통한 요청인지 서버가 구분하지 못할 경우, 공격자가 스크립트 구문을 이용하여 정상적인 사용자(희생자)의 권한으로 조작된 요청을 전송하는 것 웹 서버는 희생자의 권한으로 위조된 요청사항(수정,삭제,생성 등)을 처리 공격절차 공격자가 일반 사용자 계정으로 조작된 요.. 2020. 9. 23. 이전 1 다음