공격자가 제공한 실행 가능한 코드를 재전송하도록 하는 공격 기법이다.
서버를 장악하지 않고도 사용자 정보가 유출될 수 있으며 필터링을 우회할 수 있는 다양한 방법이 존재한다.
XSS는 게시판이나 웹 메일 등에 자바 스크립트와 같은 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동하게 하는 공격이다.
또한 대부분의 웹 해킹 공격 기법과는 다르게 클라이언트를 대상으로 한 공격이다.
우선 공격자가 웹 서버에 악성 스크립트를 웹서버에 심는다.
그리고 클라이언트는 웹 서버에 어떠한 데이터를 요청하게 되는데 이 요청에 악성 스크립트가 포함되어서 클라이언트를 공격하게 된다.
이런 XSS는 Stored XSS와 Reflected XSS로 분류된다.
Stored XSS는 게시판에 악성 스크립트를 올리고 사용자가 클릭하면 악성 스크립트가 실행된다.
Reflected XSS는 메일로 악성 스크립트가 포함된 첨부파일을 사용자에게 보내어 사용자가 해당 첨부파일을 열면 악성 스크립트가 실행된다.
'공부 > 정보보안기사공부' 카테고리의 다른 글
FTP Bounce attack (0) | 2021.03.10 |
---|---|
NAC (0) | 2021.03.09 |
VLAN을 사용하는 이유 (0) | 2021.03.08 |
Null Session 취약점 (0) | 2021.03.07 |
Race Condition 공격 (0) | 2021.03.07 |