XSS

cross-site scripting
사이트에 스크립트를 넣어 공격하는 가장 기초적인 공격 방법이다

사용자가 스크립트가 포함된 사이트(피싱사이트)에 접속시, 자동으로 스크립트가 실행되어 사용자의 민감한 정보(쿠키, 세션토큰 등)를 다른 서버로 전송하여 탈취한다

해결방안

  • 쿠키에 중요한 정보를 담지 않는다
  • XSS는 대부분 자바스크립트에 의해 발생하므로, 스크립트를 입력하지 못하게 제한하거나 '<', '>'같이 위험요소가 있는 문자를 인코딩해서 스크립트가 실행되지 않게 치환한다
  • PLURA XSS필터에 등록하면 XSS 공격이 일어났을 때, 자동으로 해당 공격자의 IP가 자동으로 차단된다
  • 사용자가 검증되지 않은 (피싱)사이트에 접속하지 않도록 주의한다

CSRF

Cross-site request forgery
사용자가 자신의 의지와 무관하게 공격자의 의도한 행위(수정/삭제)를 서버에 요청하게 만드는 공격 방법이다

사용자가 피싱 사이트에 접속시 가지고 있던 쿠키(다른 사이트에 접속되있던)를 이용해 사용자의 권한으로 악성 요청을 한다 (ex 광고...)

해결방안

  • 자동로그인을 안하는 것이 좋다
  • 서버에서 계속 변화하는 토큰을 제공하여 인증한다