XSS
사이트 간 스크립팅(cross-site scripting)은 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다.
주로 여러 사용자가 보게 되는 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다.
스크립트 내용에 따라서 쿠키나 세션 토큰 등의 탈취가 가능해서, 이를 인증이나 세션관리에 사용하고 있는 사이트에 침입하거나 심각한 피해를 입힐 가능성이 있다.
https://velog.io/@owlsuri/react-quill
CSRF
Cross Site Request Forgery, 웹 어플리케이션 취약점 중 하나로 인터넷 사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는 공격이다
특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다.
-
위조 요청을 전송하는 서비스(ex : 페이스북)에 희생자가 로그인 상태여야함.
-
희생자는 공격자가 만든 피싱 사이트에 접속해야함.
방지대책
1. Referrer 검증
Back -end 단에서 request 의 referrer을 확인하여 domain이 일치하는지 검증하는 방법
2. Security Token 사용
(Reffer검증이 불가한 환경일 시, Security Token을 활용한다.)
사용자 세션에 임의의 난수 값을 저장하고, 사용자의 요청마다 해당 난수 값을 포함 시켜 전송한다.
이후 Back -end 단에서 요청을 받을 떄마다 세션에 저장된 토큰 값과 요청 파라미터에 전달되는 토큰 값이 일치한지 검증하는 방법)
출처: https://lucete1230-cyberpolice.tistory.com/23 [I-Tstory]
