Action disabled: source

XSS (Cross-site Scripting)

inlinetoc

Web Application에서 나타나는 취약점중 하나로 웹사이트 관리자가 아닌 이가 page에 악성 script를 삽입할 수 있는 취약점이다. 사용자의 쿠키, 세션 탈취, 비정상기능 수행등을 한다.

xss와 csrf의 차이점

CSRF(Cross-site request forgery)는 사이트 간 요청 위조는 Web site 취약점 공격중 하나이다. CSFR는 Web server를 공격하는 형태로 사용자를 통해 공격이 이루어 진다. 브라우져 상에서 사용자 요청을 변조하여 해당 사용자의 권한으로 악성 공격을 수행하게 된다. 불특정 다수가 피해를 입는 것이 특징이다. 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정,삭제등)를 특정 웹사이트(서버)에 요청하는 공격을 하게된.

두 방식의 차이점을 쉽게하면 공격대상이 client 인지 server 인지에 따라 분류된다.

XSS는 공격대상이 client가 된다. 사이트 변조나 백도어 등을 통해 client를 공격한다. XSS는 쿠키나 정보를 탈취한다면 CSRF는 사용자의 비정상 행위를 발생시킨다.

출처

역링크