OWASP - XSS (Crosss-Site Scripting)

XSS (Crosss-Site Scripting)

 

 

1. XSS : 웹 애플리케이션의 페이지에 악의적인 HTML, Script를 삽입하여 공격자가 원하는 형태로 공격하는 웹 해킹기법

2. XSS의 공격형태 및 대응방안

  1) Cookie Sniffing : 기법 사용자의 웹 브라우저의 쿠키를 훔치거나 엿보는 공격

  2) 악성코드 유포 : 웹 페이지 게시판 첨부파일에 악성코드를 유포하여 사용자로 하여금 다운로드 받게하여 악성코드 감염되도록 하는 공격

  3) 스크립트 암호화 및 우회 : 그림을 입력하는 태그에 스크립트를 입력하여 우회 공격

                                  예) <IMG SRG=’javascript:alert(“XSS”)’>

                                      <IMG SRG=’vbscript:msgbox(“XSS”)’>

                                      <SCRIPT SRC=http://xxx/xss.js></SCRIPT>, <IMG SRC=javascript:alert!('XSS')>, <STYLE>@import!'http://xxx/xss.js';</STYLE>

 

(http://www.itworld.co.kr/news/109278

ITWorld 용어풀이 | XSS(Cross-Site Scripting)

 

 

3. XSS대응방안

  1) Key Logger : 웹 페이지 안에 키보드 이벤트를 받아 입력된 키 값을 공격자의 컴퓨터로 전송

  2) Mouse Sniffer : 공격자는 마우스의 위치를 추적하여 마우스의 위치 값(x,y으로 표시)을 전송 받음

  3) 거짓정보추가하기 : 공격자는 사용자가 보여지는 페이지를 페이지 상에서 수정하여 보여줌으로써 거짓정보를 통해 사용자에게 공격