XSS(Cross Site Scripting)
- 관리자가 아닌 일반 유저가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점
XSS에 대한 피해 사례
- 유저를 사칭하여 서비스를 이용
- 악성 스크립트가 삽입된 웹 사이트에 방문한 유저의 쿠키가 악성스크립트를 심은 공격자에게 전달되어 쿠키내에 있는 유저의 세션정보가 공격자에 의해 사용되는 것
XSS를 방지하는 대표적인 방법
- 유저가 입력한 값의 검증을 서버측에서 수행
- 유저가 입력한 값 중에 HTML 코드로 인식될 수 있는 특수문자를 일반 문자로 바꿔서 처리
- '<', '&' 등
- 유저가 입력한 값 뿐만 아니라 외부 시스템에서 온 데이터 등도 웹페이지에 출력 대상이 되는 것이라면 반드시 처리해야 한다.
참고 문헌
움직이는 만큼 행복해진다