XSS
- Victim: 클라이언트
- 특정 사이트에 대한 사용자의 신뢰를 악용
- code injection 유형
Persistent XSS
- 글이 지워지지 않는 경우에 계속 남아 있음
- 공격자는 보통 '쿠키 값은 어떤 IP로 날려보내라' 라는 명령을 가장 많이 사용
Non-Persistent XSS
- 공격자가 공격 script가 포함된 링크를 만들어서 보내면 클라이언트가 해당 링크를 누르는 순간 검색 엔진에 해당 script가 입력 되도록 함
대응
- 입력 필드에서 바람직하지 않은 문자를 검증하고 거부
- ex) 특수 문자
※ 국민대학교 소프트웨어학부 윤명근 교수님의 정보보호와시스템보안 교과목을 공부하며 정리한 내용입니다.
728x90
반응형
'정보 보안' 카테고리의 다른 글
| 웹 보안 - SQL Injection (0) | 2024.12.11 |
|---|---|
| 웹 보안 - CSRF(Cross-Site Request Forgery) (0) | 2024.12.11 |
| 웹 보안 - 세션 관리(Session management) (1) | 2024.12.11 |
| 웹 보안 - Cookie (0) | 2024.12.11 |
| 웹 보안 - Web Shell (0) | 2024.12.11 |