16. XSS(Cross Site Script) 공격의 정의와 공격 기법 2가지를 설명하시오.
클릭하면 정답이 보입니다.
| 정답 확인 | 맞췄어요 O | 틀렸어요 X |
1) XSS 공격의 정의
- 웹페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되도록 유도함으로써 이득을 취하는 공격
2) XSS 공격 기법 2가지
- Reflected XSS : 검색 결과, 에러 메시지 등을 통해 서버가 외부에서 입력받은 악성 스크립트가 포함된 URL 파라미터 값을 사용자 브라우저에서 응답하도록 허용할 때 발생한다. 공격 스크립트가 삽입된 URL을 사용자가 쉽게 확인할 수 없도록 변형하여, 이메일, 메신저, 파일 등을 통해 실행을 유도하는 기법이다.
- Stored XSS: 웹 사이트의 게시판, 코멘트 필드, 사용자 프로필 등의 입력 Form을 통해 악성 스크립트를 삽입하여 DB 저장한다. 이후 사용자가 사이트를 방문하여 저장된 페이지(게시글 등)를 열람할 때, 저장된 악성 스크립트가 로딩되어서 사용자 브라우저에서 실행되도록 하는 기법이다.
- DOM based XSS: 외부에서 입력받은 악성 스크립트가 포함된 URL 파라미터 값이 서버를 거치지 않고, DOM 생성의 일부로 실행되면서 공격이 이루어진다.
- 웹페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되도록 유도함으로써 이득을 취하는 공격
2) XSS 공격 기법 2가지
- Reflected XSS : 검색 결과, 에러 메시지 등을 통해 서버가 외부에서 입력받은 악성 스크립트가 포함된 URL 파라미터 값을 사용자 브라우저에서 응답하도록 허용할 때 발생한다. 공격 스크립트가 삽입된 URL을 사용자가 쉽게 확인할 수 없도록 변형하여, 이메일, 메신저, 파일 등을 통해 실행을 유도하는 기법이다.
- Stored XSS: 웹 사이트의 게시판, 코멘트 필드, 사용자 프로필 등의 입력 Form을 통해 악성 스크립트를 삽입하여 DB 저장한다. 이후 사용자가 사이트를 방문하여 저장된 페이지(게시글 등)를 열람할 때, 저장된 악성 스크립트가 로딩되어서 사용자 브라우저에서 실행되도록 하는 기법이다.
- DOM based XSS: 외부에서 입력받은 악성 스크립트가 포함된 URL 파라미터 값이 서버를 거치지 않고, DOM 생성의 일부로 실행되면서 공격이 이루어진다.
위키 해설
위키해설을 등록해주세요!
📝 문제 해설(등록자)
클릭하면 보입니다.
🤖 AI 문제 해설
AI의 해설은 정확하지 않을 수 있으니 읽어보시고 꼭 평가해주세요.
시기에 따라 사용 가능한 모델이 달라질 수 있습니다.
🤝 무료 LLM 모델을 찾고 있습니다.
클릭하면 보입니다.