[WEB] XSS & CSRF(feat. JWT Token)

사용자의 브라우저를 대상으로 하는 공격 XSS와 CSRF

💥 XSS(Cross-Site Scripting)

XSS 공격은 Cross-Site Scripting이 약자로 사이트에 악성 스크립트를 삽입해 공격을 하는 행위이다.

이렇게 공격을 하게 되면 침입자는 사용자에게서 얻은 정보로 사용자로 가장해 도용을 할 수 있다는 문제가 발생한다.

🧨 CSRF(Cross-Site Request Forgery)

CSRF 공격은 Cross-Site Request Forgery의 약자로 사이트 간 요청을 위조하는 공격이다.

만약 이 웹 사이트가 은행 웹 사이트에서 돈을 송금하는 과정이라고 가정하면 사용자는 침입자가 심어놓은 링크를 눌러서 침입자 웹 사이트로 들어가서 사용자 본인도 모르게 돈을 송금하게 된다.

이는, 은행 웹 사이트는 해당 요청을 침입자가 아닌 사용자가 보낸 요청으로 판단하기 때문이다.

💾 JWT Token 저장 위치

그렇다면 JWT Token을 어디에 저장하는게 좋을까?

1) Local Storage

👍 장점: CSRF 공격에 안전함

• Local Storage에 경우 JS 코드에 의해 Request에 담기기 때문에 침입자가 사용자로 가장하기 힘들다.

👎 단점: XSS 공격에 취약함

• Local Storage에 경우 pure JS로서 침입자가 XSS 공격으로 JS를 실행해 탈취하기 쉽다.

2) Cookie

👍 장점: XSS 공격이 Local Storage에 비해 비교적 안전함

• Cookie는 httpOnly 옵션을 사용하면 JS로 접근이 불가능하기 때문에 Local Storage 보다는 XSS 공격이 쉽지 않다.

👎 단점: CSRF 공격에 취약함

• Cookie에 경우 자동으로 HTTP Request에 담아서 보내기 때문에 공격자의 웹 사이트에서 쉽게 요청을 위조할 수 있다.

🪄 해결 방안

1. Cookie에 저장 후 XSS httpOnly 옵션을 사용해 XSS 공격 방지, sameSite=strict를 사용해 CSRF 공격 방지

2. Refresh Token을 사용해 쿠키에 저장을 하고, Access-Token을 새로고침 시 Refresh Token을 Request에 담아서 재발급 후 메모리에 저장

• CSRF 공격을 할 때 침입자가 Refresh Token을 알아도 새로 받아온 Access Token을 확인 불가

• XSS 공격을 할 때 httpOnly 옵션을 통해 JS로 쿠키에 접근을 막음