XSS(Cross Site Scripting)

XSS란 ??

웹 해킹 공격 기법중 하나로서 Cross Site Scripting의 약자이다. CSS라는 약어가 이미 사용중이기 때문에 XSS라고 한다.

XSS는 게시판이나 웹 메일 등 자바 스크립트와 같은 스크립트 코드를 삽입해 개발자가 고려하지 않은 기능이 작동하게 하는 단순하고 치명적인 공격이다. XSS는 크게 Reflected XSS와 Stored XSS로 분류할 수 있다. Reflected XSS는 공격 스크립트가 삽입된 URL을 사용자가 쉽게 확인할 수 없도록 변형시킨 후 이메일이나 다른 웹사이트 등에 클릭을 유도하도록 하는 방법이다.

 

1. 게시판 본문에 다음과 같이 script를 입력해보자.

2. 그럼 다음과 같이 아무 문제 없이 script가 실행되어지는 것을 확인할 수 있다.

 

3. 소스코드로 보면 script가 보이지만 게시물에 들어가보면 아무 내용도 확인할 수 없다.

# 이와같은 방식은 Stored XSS이다. 공격자가 악의 적인 자바스크립트를 위와같은 방식으로 게시판에 게시하고 공격 대상자가 해당 게시글을 클릭하도록 유도하는 것이다.