728x90
반응형
XSS (Crosss-Site Scripting)
1. XSS : 웹 애플리케이션의 페이지에 악의적인 HTML, Script를 삽입하여 공격자가 원하는 형태로 공격하는 웹 해킹기법
2. XSS의 공격형태 및 대응방안
1) Cookie Sniffing : 기법 사용자의 웹 브라우저의 쿠키를 훔치거나 엿보는 공격
2) 악성코드 유포 : 웹 페이지 게시판 첨부파일에 악성코드를 유포하여 사용자로 하여금 다운로드 받게하여 악성코드 감염되도록 하는 공격
3) 스크립트 암호화 및 우회 : 그림을 입력하는 태그에 스크립트를 입력하여 우회 공격
예) <IMG SRG=’javascript:alert(“XSS”)’>
<IMG SRG=’vbscript:msgbox(“XSS”)’>
<SCRIPT SRC=http://xxx/xss.js></SCRIPT>, <IMG SRC=javascript:alert!('XSS')>, <STYLE>@import!'http://xxx/xss.js';</STYLE>
(http://www.itworld.co.kr/news/109278
ITWorld 용어풀이 | XSS(Cross-Site Scripting)
SNS나 블로그의 흔한 메뉴가 '자기소개'입니다. 입력창에 이름과 메일 혹은 좋아하는 것을 적죠. 그런데 이 간단한 입력창을 이용
www.itworld.co.kr
3. XSS대응방안
1) Key Logger : 웹 페이지 안에 키보드 이벤트를 받아 입력된 키 값을 공격자의 컴퓨터로 전송
2) Mouse Sniffer : 공격자는 마우스의 위치를 추적하여 마우스의 위치 값(x,y으로 표시)을 전송 받음
3) 거짓정보추가하기 : 공격자는 사용자가 보여지는 페이지를 페이지 상에서 수정하여 보여줌으로써 거짓정보를 통해 사용자에게 공격
728x90
'03.Security' 카테고리의 다른 글
| 정보보안 - 국가보안 - 국가정보원 보안성 (0) | 2023.10.19 |
|---|---|
| OWASP - CSRF (Cross Site Request Forgery) (0) | 2023.10.16 |
| 개인정보 - 안전성 확보조치 (0) | 2023.10.12 |
| 정보보안 - 정보보안/정보보호 인증 - ISMS (0) | 2023.10.12 |
| 개인정보 - 인공지능 - 디지털 권리장전 (0) | 2023.10.10 |
