1. XSS
가. 정의
크로스 사이트 스크립팅(Cross Site Scripting, XSS)은 공격자가 상대방의 브라우저에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것
나. 공격방법
XSS에 취약한 사이트의 에디터(input)같은 것을 확인하고
그대로 <script></script>태그를 때려 박아서 탈취하는 것
인풋에 태그를 입력하면 그 태그 그대로 나오기 때문에 토큰 및 쿠키 탈취가 쉽다.
다. 해결방법
DOMpurify 라이브러리를 사용하자
2. CSRF
가. 정의
CSRF공격이란 사용자의 의지와 무관하게 공격자가 의도한 행위를 웹사이트에 요청하게 하는 공격
나. 공격방법
1) 사용자는 정상적으로 사이트에 접속해서 토큰을 발급받는다
2) 해커는 이메일이나 게시글 같은 방법으로 사용자에게 링크를 넘겨주고
3) 링크를 누른 사용자는 <img>태그를 넣어 자신이 원하는 내용을 전달해준다
=== img를 보여주시고 그게 아니라면 해커가 원하는 행동을 하게 됨 당연히 이미지 링크는 없기 때문에 해커가 원하는 행동이 실행이 됨
4) 사용자의 정보를 탈취하여 사용자처럼 행동함
3. SQL-injection
가. 정의
취약점을 이용하여 악의적인 SQL문을 주입하고 실행되게 하여 데이터베이스가 비정상적인 동작을 하도록 조작하는 행위
나. 공격방법
보통 or연산자를 이용해 공격
적는 자만이 생존한다.