token, xss, csrf

XSS란?

• 크로스 사이트 스크립팅(Cross Site Scripting, XSS)

• 공격자가 타인의 브라우저에 스크립트가 실행되도록 해 타인의 세션을 가로채거나, 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것을 말한다.

반사형 XSS

• 1회성 공격이다. 왜? 피해자가 직접 스크립트를 실행하도록 유도하기 때문!
• 악성 스크립트는 링크를 클릭한 사용자의 쿠키 값을 해커에게 전송하도록 설정
• 사용자는 해당 링크를 클릭함과 동시에 악성 스크립트를 실행하게 되며, 악성 스크립트에 감염된 웹사이트에 입력한 모든 정보가 노출된다.

영구적 XSS

• 응용 프로그램이나 웹사이트의 모든 HTTP 응답을 감염시키는 공격

DOM 기반 XSS

• 피해자의 브라우저에 초점을 맞춘 것이 특징인 공격
• 공격 당하기 쉽다...

CSRF란?

• CSRF 공격은 (Cross Site Request Forgery)의 약자로, 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는 공격이다.

• CSRF를 통해 해커는 희생자의 권한을 도용하여 중요 기능을 실행하는 것이 가능하다.

출처: https://itstory.tk/entry/CSRF-공격이란-그리고-CSRF-방어-방법 [덕's IT Story]