Cross Site Scripting(XSS)
- 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있다.
- 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있다.
Cross Site Scripting의 약어가 XSS인 이유
Cross Site Scripting의 약어는 CSS라고 불리는 것이 옳다. 그러나 스타일 시트를 정의하는 언어인 CSS와의 중복으로, 혼동되어 사용될 수 있기 때문에 XSS로 명명되었다.
XSS 발생 예시와 종류
XSS 공격은 이용자가 삽입한 내용을 출력하는 기능에서 발생한다.
Stored XSS
서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS이다.
대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식이 있다.
게시물은 불특정 다수에게 보여지기 때문에 해당 기능에서 XSS 취약점이 존재할 경우 높은 파급력을 가진다.
Reflected XSS
서버가 악성 스크립트가 담긴 요청을 출력할 때 발생한다.
대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식이 있다.
Stored XSS와는 다르게 URL과 같은 이용자의 요청에 의해 발생한다.
이용자에게 링크를 직접 전달하는 방법은 악성 스크립트 포함 여부를 이용자가 눈치챌 수 있기 때문에 주로 Click Jacking 또는 Open Redirect 등 다른 취약점과 연계하여 사용한다.
'Web Hacking > Study' 카테고리의 다른 글
| Client Side Template Injection 취약점 (0) | 2023.06.26 |
|---|---|
| XSS CSRF SSRF 차이 (0) | 2023.06.26 |
| Cookie & Seesion (0) | 2023.06.26 |
| Burp Suite Option(3) (0) | 2023.06.26 |
| Burp Suite Option(2) (0) | 2023.06.26 |