XSS(Cross-site scripting)

XSS(Cross-site scripting) ?

웹 어플리케이션에서 나타나는 취약점으로 관리자가 아닌 권한이 없는 사용자가 웹 사이트에 스크립트를 삽입하는 공격 기법입니다.
대부분 사용자가 글을 읽고 쓸 수 있는 게시판처럼 사용자의 입력값이 보이는 곳에서 많이 발생합니다. 악의적인 사용자가 *C&C 서버로 리다이렉션 하게끔 스크립트를 주입하기도 하며, 사용자의 쿠키를 탈취해 *세션 하이재킹(Session Hijacking) 공격을 수행하기도 합니다.

* C&C 서버 : 일반적으로 감염된 좀비 PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버

* 세션 하이재킹(Session Hijacking) : 세션이 연결되어 있는 상태를 가로채기 하는 공격으로 아이디와 패스워드를 몰라도 시스템에 접근하여 자원이나 데이터를 사용할 수 있는 공격

XSS는 공격 방식에 따라서 구분되며 Stored XSS와 Reflected XSS 등의 방식이 있다.

Stored XSS

악의적인 사용자가 게시판이나 댓글, 닉네임 등을 이용해 악의적인 스크립트를 서버에 저장시켜 일반 사용자가 스크립트가 포함된 게시글을 읽을 때 수행되도록 하는 XSS 방식

Refelcted XSS

보통 URL 파라미터(특히 GET 방식)에 스크립트를 넣어 서버에 저장하지 않고 사용자의 요청에 포함된 스크립트가 서버로부터 그대로 반사(Reflected)되어 응답메시지에 포함돼 브라우저에서 스크립트를 실행되는 공격기법
보안상 브라우저 단에서 차단하는 경우가 많아져 상대적으로 공격에 성공시키기 어렵다