1️⃣ XSS(Cross-Site Scripting)
- 웹 상에서 가장 기초적인 취약점 공격 방법의 일종
- 사용자가 특정 웹사이트를 신용하는 점을 노린 것
- 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법
자바스크립트를 사용하여 공격하는 경우가 많고, 공격 방법이 단순하고 가장 기초적이지만, 많은 웹사이트들이 XSS에 대한 방어 조치를 해두지 않아 공격을 받는 경우가 많다. 여러 사용자가 접근 가능한 게시판 등에 코드를 삽입하는 경우도 많으며, 경우에 따라서는 메일과 같은 매체, 심지어는 닉네임에 코드를 심기도 한다.
1) Stored XSS
- 일반적으로 말하는 XSS를 뜻 함
- Stored XSS는 사이트 게시판이나 댓글, 닉네임 등 스크립트가 서버에 저장되어 실행되는 방식
2) Reflected XSS
- URL 파라미터(특히 GET 방식)에 스크립트를 넣어 서버에 저장하지 않고 그 즉시 스크립트를 만드는 방식
- 브라우저 자체에서 차단하는 경우가 많아 상대적으로 공격을 성공시키기 어려움
2️⃣ CSRF(Cross-Site Request Fogery)
사이트 간 요청 위조(또는크로스 사이트 요청 위조,CSRF,XSRF)는 웹 사이트 취약점 공격의 하나로,사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격
- 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것
- 옥션에서 발생한 개인정보 유출 사건에서 사용된 공격 방식 중 하나
- 사용자가 웹사이트에로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면, 공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출
- CSRF는 공격자가 사용자의 컴퓨터를 감염시키거나 사이트 해킹을 해서 이뤄지는 공격이 아니므로 공격이 성공하려면 다음 조건을 만족해야 한다.
- 위조 요청을 전송하는 서비스(ex : 옥션)에 희생자가 로그인 상태여야함.
- 희생자는 공격자가 만든 피싱 사이트에 접속해야함.
3️⃣ 방지 대책
팀에서 꼭 필요한 프론트엔드 개발자가 되고 싶습니다.