XSS
공격자가 악의적으로 동작하는 스크립트를 서버에서 발견하고, 해당 스크립트를 서버에 업로드 하거나 사용자에게 전달하여 사용자의 세션탈취, 피싱사이트 접근 유도, 악성코드 배포 등이 가능한 취약점 이다. XSS의 특징은 공격 대상이 서버가 아닌 사용자라는 점에 있다.
그럼 스크립트는 무엇인가? 스크립트는 자바 스크립트를 의미한다.
자바 스크립트는 HTML에서 사용이 가능한 프로그래밍 언어이다.
번외로 Cross-Site-Scripting 인데 왜 CSS가 아니고 XSS라고 불리는지 궁금할 수도 있다.
이는 이미 Cascading Style Sheets(CSS)가 있어 이름이 중복 되고
교차형태 사이트 스크립팅 이라는 의미에서 앞글자를 X로 바꾸기로 하여 XSS가 되었다고 한다.
XSS를 큰 틀에서 보면 두가지로 나눌 수 있다.
저장형 XSS (Stored-XSS)
반사형 XSS (Reflected-XSS)
Stored XSS
이 아이콘의 저작권은 Freepik에 있습니다.
1. 공격자는 홈페이지(서버)로 부터 스크립트를 조작할 수 있는 취약점을 발견하고 스크립트를 서버에 저장한다.
2. 사용자는 홈페이지 이용 중 공격자가 저장해둔 스크립트에 접근 한다.
3. 스크립트가 실행 된다.
Reflected XSS
이 아이콘의 저작권은 Freepik에 있습니다.
1. 공격자는 홈페이지(서버)로 부터 즉시 스크립트를 실행할 수 있는 취약점을 확인한다.
2. 공격자는 사용자에게 정상적인 서버 주소에 스크립트가 실행되는 URL을 사용자에게 전달한다.
3. 전달받은 URL로 접근하게 되면 스크립트가 즉시 동작한다.