XSS

XSS(Cross-Site Scripting)란?

XSS(Cross-Site Scripting)은 공격자가 입력한 악성스크립트가 사용자 측에서 응답하는 취약점으로, 주로 <script>를 이용하여 악성 스크립트를 삽입하고 해당 스크립트가 있는 페이지에 사용자가 접속할 때 사용자의 쿠기 정보, ip 등의 정보를 탈취하고 더 나아가 피싱, 스미싱 등의 추가 공격 피해도 입힐 수 있는 공격이다. 

 

XSS 공격 예시

XSS 공격 과정

위와 같이 <script>가 실행되는 곳에 악성 스크립트를 삽입한 뒤, 해당 페이지에 사용자가 접근하면 공격자 PC에서 해당 사용자에 대한 쿠키 및 세션 정보도 확인할 수 있고, 아래와 같이 피싱 사이트로 연결하여 사용자를 속여 아이디와 비밀번호와 같은 개인정보를 스미싱 및 탈취할 수 있다.

XSS 공격으로 공격자가 사용자에게 강제로 피싱 사이트로 연결하는 과정

XSS 공격 이후 피해자 PC 화면

 

대응방안

이를 예방하기 위해서는 아래와 같은 방법을 사용한다. 

1. WAF와 같은 방화벽을 이용하여 <script>와 같이 비정상 데이터가 들어오면 차단하게 한다.

2. 웹 서버에서 입력할 수 있는 값의 길이를 제한 및 검증하여 악성 스크립트가 업로드되는 것을 예방한다.

3. 게시글과 같이 입력한 글이 보여지게 될 때는 입력한 것을 일반 문자열로 인식하여 입력한 스크립트 또한 일반 문자열로 인식하도록 설정한다.