XSS CSRF1 [Web 보안] XSS, CSRF XSS(Cross-Site Scripting) (사용자가 사이트를 신뢰한다는 점을 이용) 스크립트 삽입 공격 방식 JS 스크립트는 어느위치에 있던 동작하기 때문에 공격자가 스크립트 코드가 포함된 게시글을 작성하여 등록 일반 사용자가 해당 글을 클릭하면 script가 동작하여 이루어지는 공격 방식 무조건 Secure Coding을 해줘야 한다. 대응 - Secure coding , = 과 같은 입력값에 공격에 사용될만한 문자가 있다면 치환하여 사용, DB에 저장한다. Sql Injection도 비슷한 방식으로 대응할 수 있다. - HttpOnly Secure coding이 적용되어 있지 않아 스크립트가 동작 쿠키 탈취 시도 시 쿠키가 HttpOnly 설정이 되어있다면 js로 쿠키를 읽어낼 수 없다. CSR.. 2022. 8. 25. 이전 1 다음