반응형
* XSS 공격은 클라이언트를 대상
CSRF 공격은 서버를 대상으로 이루어진다.
* XSS 공격 절차
1. HTML 사용이 가능한 게시판, 프로필, 댓글 등에 악성 스크립트(javascript 등)를 삽입
2. 사용자가 사이트를 방문하여 저장되어 있는 페이지에 정보를 요청할 때(게시판 글 읽기 등)
3. 서버는 악성 스크립트를 사용자에게 전달하여 사용자 브라우저에서 스크립트가 실행되면서 공격
* XSS 보안 대책
- 외부입력값에 스크립트가 삽입되지 못하도록 문자변환 함수 또는 메서드를 사용하여 < > & “ 등을 안전한 함수로 치환
- HTML태그를 허용하는 게시판에서는 허용되는 HTML 태그들을 화이트리스트로 만들어 해당 태그만 지원하도록 한다.
* CSRF 공격 절차
- 공격자가 사용자의 cookie 값이나 session 정보를 의 도한 사이트로 보내거나 특정한 동작을 유발하는 스크립트를 글에 삽입하여 사용자가 게시물 등을 클릭할 경우 공격자가 원하는 동작(계좌이체, 물건주문 등)이 실행되게 하는 취약점
(단, 공격 대상자가 사이트에 로그인해 있거나 유효한 cookie, session 정보를 가지고 있어야 공격이 성공할 수 있음)
* CSRF 특징
① 특정 소수가 아닌 불특정 다수를 대상으로 한다.
② 원래 의도된 기능이 아닌, 데이터 변경, 삭제등이 가능해진다.
③ XSS에서 진보한 공격이라고 보는 의견이 있다.
* CSRF 보안대책
- 입력화면 폼 작성 시 (GET) 방식보다는 (POST) 방식을 사용하고,
- 입력화면 폼과 해당 입력을 처리하는 프로그램 사이에 (토큰)을 사용하여,
공격자의 직접적인 URL 사용이 동작하지 않도록 한다.
- 특히 중요한 기능에 대해서는 (사용자 세션 검증)과 더불어 (재인증)을 유도한다.
* OWASP Top 10 - 2017 (4년에 한번 발표하는 웹취약점)에 XSS ,CSRF 공격은 자주 등장하므로 중요합니다!
반응형
'IT보안' 카테고리의 다른 글
| [IT보안] 위험(RISK), 위험관리(RISK Management), 정보보호관리체계(ISMS)란 무엇인지 알아보자! (0) | 2020.10.11 |
|---|---|
| [IT보안] BCP(Business Continuity Planning) 업무 연속성 계획에 대해 알아보자! (0) | 2020.09.19 |
댓글