OWASP
국제웹보안표준기구
뭐 여기서 열 가지 주요 취약점을 발표하였다. 그 중 인증 및 세션 관리 취약점이라는 게 있다.
개발자는 처음 설정한 패스워드를 그대로 사용하기에 admin/admin 같은 취약한 패스워드를 사용한다고 한다. 물론 당연히 그러면 안 되겠지만.
배울 내용은 XSS, CSRF 취약점이다.
XSS 취약점
공격자가 작성한 스크립트가 다른 사용자에게 전달되는 걸 말한다.
사용자 세션을 탈취한다든가 웹 사이트를 변조한다든가 아기악의적인 사이트로 사용자를 이동시킬 수 있다.
쿠키 탈취랑 포스팅할 때 악의적인 코드를 삽입하는 거랑 CSRF 비슷하게 접근하면 다른 사이트로 이동되는 걸 예시로 들 수 있겠다.
이런 식으로 말이다.
XSS는 두루 행하다 보니 필터링하기도 하는데 그걸 서버 통제 작용이라 한다.
물론 공격자는 이걸 우회해서 뚫기도 한다.
보통 <, >, &, " 이런 걸 필터링한다. 물론 완전히 막으려면 다 갖춰야겠지만.
CSRF 취약점
불특정 다수를 대상으로 공격자가 의도한 행위를 하는 것이다.
XSS와의 차이가 있다면 사용자가 악성 스크립트를 서버에 요청하는 차이가 있다.
사용자를 구분하는 인수값이 존재하지 않아야 성공한 거라고 말할 수 있다.
취약점에는 취약점이 있는 컴포넌트 사용, 취약한 API를 이용한 것도 있다.
프런트엔드 개발자 지망생