보안(Security)/XSS
-
화이트 리스트 (White List) 기법 이용한 크로스 사이트 스크립팅(XSS) 방어 예제보안(Security)/XSS 2018. 9. 10. 10:04
크로스 사이트 스크립팅(Cross Site Scripting)은 "게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격" 이라 네이버 지식백과에 기술되어 있다. 중요한 점은 웹 페이지에 스크립트 삽입이 가능하다는 점이다. 게시판 페이지를 통해 확인하자. 글 작성할 때 alert을 호출하는 스크립트를 삽입후 등록한다.정상적인 글을 클릭해 들어가면제목과 내용이 잘 나온다.반면 스크립트를 삽입한 게시글에서는다음과 같이 alert이 호출되고글 내용이 없게 되는 것이다. 게시판의 개발 목적 및 용도와 적합하지 않게 되고, 보안 또한 취약해지게 된다. 이를 극복하기 위해 네이버에서 lucy-xss를 지원한다..
-
크로스 사이트 요청 위조 (CSRF. Cross Site Request Forgery)보안(Security)/XSS 2018. 9. 10. 09:57
"특정 사용자를 대상으로 하지 않고, 불특정 다수를 대상으로 로그인된 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록, 송금 등)를 하게 만드는 공격이다." 네이버 백과사전 정의이다. 대표적인 예가 무엇이 있을까? 쇼핑몰 사이트이다. 1) 쇼핑몰 사이트에 관리자가 읽을만한 글을 게시한다. 홈페이지에 게시된 계좌번호를 해커의 것으로 변경하는 URL 요청을 보이지 않는 태그(img)로 삽입한다. 2) 관리자가 글을 읽을 때 URL 요청이 수행되어 계좌번호가 변경하는 요청을 수행한다. 3) 사이트로 입금되는 금액이 해커의 수중에 넘어간다. 하기 카페 글을 읽고 이해에 도움이 되었으니 참고할 것.https://cafe.naver.com/ehdl24eek/29669 이를 응용한다면 게시..