서론

• Client side 취약점
  • 웹 페이지의 이용자를 대상으로 공격할 수 있는 취약점
  • 이용자를 hacking하여, 이용자의 세션과 쿠키 정보 등을 탈취 가능

XSS (Cross Site Scripting)

• 웹 리소스에 악성 스크립트를 삽입하여, 이용자의 웹 브라우저에서 해당 악성 스크립트를 실행하게 만든다.
• Script의 실행을 통해 이용자의 세션 정보를 탈취 가능
• SOP 정책의 등장으로 인해 서로 다른 Origin에서 정보를 읽는 행위는 전보다 어려워졌으나, 이를 우회하는 기법이 계속 등장하고 있음

XSS 발생 예시 및 종류

• XSS는 이용자가 삽입한 내용을 출력하는 기능에서 발생
• XSS는 발생 형태에 따라 다양한 종류로 구성

• 웹 문서의 동작을 정의하는 Java Script를 변조하여, 예상치 못한 이벤트 등을 발생시킬 수 있음.

Stored XSS

• 서버의 데이터베이스 혹은 파일 등의 형태로 저장된 스크립트를 조회할 때 발생하는 XSS.
• 게시글에 스크립트가 삽입됬을 경우, 다른 이용자는 해당 스크립트를 실행하게된다.
  • 따라서, Sanitizing하는 것이 굉장히 중요

Reflected XSS