[시큐어코딩 가이드] 2-1-4. 크로스사이트 스크립트(XSS)

크로스사이트 스크립트(XSS) 정의 웹사이트에 악성 코드를 삽입하는 공격 방법 일반적으로 애플리케이션 호스트 자체보다 사용자를 목표로 삼는다. 공격자가 웹 응용프로그램을 속여 브라우저에서 실행될 수 있는 형식의 데이터(코드)를 다른 사용자에게 전달할 때 발생한다. 공격자가 임의로 구성한 기본 웹 코드 외에도 악성코드 다운로드, 플러그인 또는 미디어 콘텐츠를 이용할 수도 있다. XSS 공격 유형 [Reflexctive XSS] 1. 공격자가 스크립트 주입이 가능한 취약점이 존재하는 웹사이트를 탐색 2. 방문자의 세션 쿠키를 탈취하는 악성 스크립트를 웹사이트에 주입 3. 사용자가 웹사이트 방문시 악성 스크립트가 실행됨 4. 웹사이트 방문객의 세션쿠기가 공격자에게 전달 ex) 공개 게시판, 피싱 이메일, 단축..