- 보안이 약한 웹 어플리케이션에 대한 공격
- 공격의 희생자는 어플리케이션이 아닌 user
- 공격에서 해로운 컨텐츠는 javascript를 활용하여 전달됨
- 클라이언트가 서버를 신뢰하기 떄문에 발생하는 이슈이다.
- 브라우저에 기본적인 XSS공격은 막혀있음.
해커가 다음과 같이 스크립트 태그로 감싸진 스트링을 입력한다.
<script>alert('브라우저가 해킹 당했습니다.')</script>아래와 같이 됨. alert 뿐만아니라 다양한 방법으로 공격이 가능함.
전체적인 흐름
내가 느낌만알고 한줄도 설명할줄 모른다면 '모르는 것'이다.