그림출처 : @bubbie_illust

• 기사
  제주특별자치도 농업기술원 제주농업기술센터’ 사이트를 XSS 취약점을 이용해 공격했다고 주장하며 공격 정황을 텔레그램에 공개했다.
  중국 해커, 국내 90개 웹사이트 DB 계정정보 노출 등 추가 공격... 설날 공격 예고

---

1. XSS 란?

Cross-site Scripting

사용자를 대상으로 한 공격
웹 상에서 가장 기본적인 취약점 공격 방법의 일종
사이트에 스크립트를 넣는 기법
공격에 성공하면 사이트에 접속한 사용자는 삽인된 코드를 실행하게 된다.

2. 종류

1. Stored XSS
   게시판에 스크립트를 올려주고, 게시글 클릭을 유도한다.

2. Reflected XSS
   XSS 공격을 위한 URL을 사용자에게 노출시켜 클릭을 유도한다.
   클릭한 경우 url을 통해 정보가 넘어간다.

3. 방지법

1. 스크립트 문자 필터링
2. 사용자가 입력한 값을 그대로 저장하지 않는다.

<, > 등을 스크립트를 위한 문자를 필터링한다.
필터링하는 방식은 해당 문자를 ""공백으로 replace할 수도 있고,
HTML에서 사용하는 특수문자로 변경할 수도 있다.
추가로 정규식을 통해 영어, 한글, 숫자, 공백만 사용하게 제한하는 방법도 있다.

---

출처
XSS - 나무위키
XSS(Cross Site Scripting) 공격이란?
저장형 XSS(Stored Cross Site Scripting) 공격과 방어