XSS(Cross-Site Scripting)
사용자가 입력한 데이터를 검증 없이 출력할 때 발생하는 보안 취약점 공격 방법
- 공격자가 악성 스크립트를 삽입하여 사용자의 데이터를 탈취하거나, 악성 사이트로 리디렉션할 수 있음
예시) 사용자가 조작된 URL을 클릭하면 악성 스크립트가 실행됨
<a href="http://hacker.com" >login</a>
XSS 방어 방법
- 출력 시 데이터 이스케이프 처리(<, >, " 등으로 변환)
- 입력값 검증 및 필터링(<script> 태그, 이벤트 핸들러 차단)
- DOM 조작 시 innerHTML 대신 textContent, createElement() 사용
Tabnabbing
사용자가 새 탭을 열어 링크를 클릭한 후, 원래 탭의 내용이 공격자에 의해 변경되는 보안 취약점 공격 방법
- 사용자가 새로운 사이트를 방문한 사이, 원래 열려 있던 탭이 피싱 사이트로 변조될 수 있음
- 주로 target="_blank" 속성을 사용한 새 창에서 발생
- 공격자는 window.opener를 이용해 원래 페이지를 변경
예시)
- 사용자가 클릭하여 safe.com을 방문
<a href="https://safe.com" target="_blank">안전한 사이트</a>- 공격자가 window.opener.location을 조작하여 원래 탭을 피싱 사이트로 변경
window.opener.location = "https://fake.com";728x90
반응형
'LG 유플러스 유레카 SW > Spring' 카테고리의 다른 글
| [#33] RESTful 방식 + Swagger 사용 (0) | 2025.03.14 |
|---|---|
| [#31] 토큰 인증 방식 (0) | 2025.03.11 |
| [#29] 쇼핑몰 연동 실습 - SQL Injection + Connection Pool (1) | 2025.03.07 |
| [#28] 쇼핑몰 연동 실습 - 다중 서버 세션 문제 해결 + 사용자 인증 (1) | 2025.03.06 |
| [#27] 쇼핑몰 연동 실습 - 회원가입/로그인 (1) | 2025.03.05 |