OWASP Top 10 – XSS 개념 정리

재폰지밥·2025년 8월 1일

공부

목록 보기
3/32
post-thumbnail

🧨 OWASP Top 10 – XSS 개념 쉽게 정리해봤습니다

보안 입문자가 꼭 알아야 할 OWASP Top 10 취약점 중
가장 자주 등장하는 공격 중 하나가 바로 XSS (Cross-Site Scripting) 입니다.


❓ XSS란 무엇인가요?

사용자가 입력한 악성 스크립트가 그대로 실행되는 보안 취약점입니다.

공격자는 HTML이나 JavaScript 코드 조각을 웹사이트에 삽입해
사용자의 브라우저에서 실행되도록 유도합니다.

이걸 통해 세션 탈취, 피싱, 악성 사이트 리디렉션 등이 가능합니다.


🔍 XSS 공격의 종류

유형설명예시
Reflected XSS사용자의 요청에 포함된 스크립트가 즉시 응답에 반영됨검색창에 <script> 삽입
Stored XSS악성 스크립트가 DB에 저장되어 여러 사용자에게 전달됨게시판에 <script> 저장
DOM-based XSS클라이언트 측 자바스크립트에서 취약점 발생JS에서 location.href 직접 삽입

📌 실제 사례

  • 과거 쇼핑몰 검색창에 XSS 삽입 → 자동 로그인 쿠키 탈취
  • 내부 메모 시스템에 Stored XSS 삽입 → 관리자 계정 공격

🛡 방어 방법

  • 입력값 필터링 (Input Validation)
  • 출력 시 이스케이프 처리 (Output Encoding)
    • 예: <&lt;, "&quot;
  • CSP(Content Security Policy) 설정
  • JS 문자열 취급 주의

🧠 정리

  • XSS는 입력값이 그대로 실행될 때 발생
  • Reflected / Stored / DOM-based 로 나뉨
  • 실습으로는 DVWA, TryHackMe 등을 활용해볼 수 있음

읽어주셔서 감사합니다 😊


profile
열심히 살기

0개의 댓글