XSS 공격
XSS 공격(Cross-Site Scripting Attack)은 웹 애플리케이션에서 일어나는 보안 취약점 중 하나로, 악의적인 사용자가 제작한 스크립트 코드를 웹페이지에 삽입하여 공격하는 기법입니다. 이러한 코드는 흔히 악성 스크립트라고 불리며, 일반적으로 사용자의 브라우저에서 실행됩니다. 공격자는 이 스크립트를 사용하여 사용자의 쿠키, 세션 토큰 등 중요한 정보를 탈취하거나, 사용자가 알지 못하는 새로운 기능을 실행하도록 유도할 수 있습니다.
CSRF 공격
CSRF 공격(Cross-Site Request Forgery Attack)은 XSS와 비슷한 공격 기법입니다. 이 공격은 사용자가 자신의 의지와 무관하게 악의적인 웹사이트를 통해 다른 웹사이트의 요청을 보내는 것입니다. 예를 들어, 공격자가 악의적인 코드를 포함한 이메일을 보내고, 이메일 수신자가 이메일을 열면 공격자의 웹사이트에 접속됩니다. 이때, 공격자는 수신자의 권한으로 다른 웹사이트에 요청을 보내는 것이 가능해집니다. 이를 통해, 공격자는 사용자의 권한으로 불법적인 동작을 수행할 수 있습니다.
정리, 방어법
XSS와 CSRF 공격 모두 웹 애플리케이션에서 발생하는 보안 취약점으로, 웹사이트 개발자는 이러한 공격을 방지하기 위해 적극적으로 보안 대책을 마련해야 합니다. 보통은 입력값의 검증 및 이스케이핑, CSRF 토큰 등의 사용으로 방어합니다.
남들 개발 공부할 때 일기 쓰는 사람