XSS와 CSRF Re

정의 : 악의적인 사용자가 웹 페이지에 악성 스크립트를 삽입하여, 다른 사용자의 브라우저에서

실행되도록 유도하는 것을 목적으로 합니다.

→ 사용자가 특정 사이트를 신뢰하기 때문에 발생한다. 즉 서버가 사용자로부터 입력 받은 값을

제대로 검사하지 않고 사용할 경우 사용자의 세션이나 쿠키를 이용해서 중요 정보를

탈취하는 것이다.

1. 정보를 암호화한다.

2. 서버단에서 httpOnly 옵션을 설정한다.

3. Url encoding이나 문자열을 치환한다.

정의 : 인증된 사용자의 권한을 이용하여 악의적인 요청을 실행시키는 공격이다.

이미 인증된 상태에서 공격자의 의도대로 서버에 요청을 보낼 수 있다.

→ 특정 사이트가 사용자를 신뢰하기 때문에 발생한다. 즉 사용자로부터 입력 받은 처리를

제대로 검사하지 않고 사용할 경우 서버에 대한 조작을 시도하는 것이다.

위를 요약하자면, XSS는 클라이언트에 대한 악성 공격이고 CSRF는 서버에 대한 악성공격이다.

1. Token 사용

2. CSP(Content Security Policy) 등의 보안 헤더를 사용하여 스크립트 실행 등을 제한할 수 있다.

3. CAPTCHA

wingerms