Token

Token(토큰)이란 서버가 각각의 클라이언트를 누군지 정확히 구별할 수 있도록, 유니크한 정보를 담은 암호화 데이터라고 할 수 있다.

사용자에 대한 정보를 암호화해서 저장하고, 웹페이지 접속시 저장된 정보를 가져와 사용자마다 다른 화면을 보여주는 용도로 주로 사용한다.

하지만 누군가 중간에 토큰을 탈취한다면 보안에 큰 취약점이 생기는 문제가 존재한다. 그래서 토큰에는 유효기간을 설정한다

jsonwebtoken(JWT)라는 패키지로 json 형식의 토큰을 만들수있다.

JWT를 통하여 Access Token을 만들어 유효기간이 끝나면 새로운 Access Token을 발급받는 방식을 이용하는데, 보안을 높이기 위해 유효기간을 짧게 설정하면 사용자는 그만큼 로그인을 자주해야하므로 매우 불편한 상황이 만들어진다.
그래서 나온 것이 Refresh Token이다.

Access Token과 같이 발급받는 형태이며, 기존의 Access Token 보다 유효가간을 길게 설정하여 토큰이 만료되어 사라져도 Refresh Token으로 토큰을 새로 발급해주는 열쇠가된다.

XSS

Cross Site Scripting = XSS 라고 한다.
해커가 상대방의 브라우저에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것을 말합니다.

예를들어 로그인 입력란을 감염시켜 로그인 세부 정보와 쿠키를 탈취하는 방식으로 진행되는경우가있다. 이로인해 사용자의 세부 정보를 기록해 해커에게 전송하고 해커는 해당 정보를 사용해 피해자의 계정을 제어할수있게된다.

XSS는 다양한 공격유형이 존재하는데 이거는 밑의 블로그를 참조하자
https://nordvpn.com/ko/blog/xss-attack/

CSRF

Cross Site Request Forgery의 줄임말로 사이트 간 요청 위조 라고 한다.
해커가 사용자의 권한을 도용하여 특정 웹 사이트의 기능을 실행하게 할수 있는 웹 취약점 중 하나이다.
CSRF를 이용하면 해커가 사용자의 계정으로 네이버 카페나 인스타그램, 페이스북 등 다수의 방문자가 있는 사이트에 광고성 혹은 유해한 게시글을 업로드 하는것도 가능하다.

!!참조
https://defineall.tistory.com/861
https://tibetsandfox.tistory.com/11