XSS(Cross Site Scripting)

  • XSS이란 게시판이나 메일에 해커가 악성 스크립트를 삽입해 사용자들이 해당 스크립트를 실행하게되는 취약점이다.

  • 이 취약점은 웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다. 주로 여러 사용자가 보게 되는 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다.

  • 이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있다. 주로 다른 웹사이트와 정보를 교환하는 식으로 작동한다.

XSS 방지법

텍스트를 이스케이프한다.

  • <, >, ", '등의 문자열들을 이스케이프하여 script가 실행되지 않게한다.

XSS filter를 사용한다.

  • 야후의 xss-filters, 네이버의 lucy-xss-filter등이있다.

Previousweb-securityNextCSRF(Cross-site request forgery)

Last updated