XSS

• Cross Site Script
• 취약점
  • 검증되지 않은 외부입력 데이터가 포함된 웹페이지가 전송되는 경우 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 ‘부적절한 스크립트’가 실행되는 공격
• 대책
  • 특수문자 등록을 방지하기 위해 특수문자 필터링
  • HTML 태그 사용금지
  • 자바스크립트로 시작하는 문자열은 모두 문자열 변환처리
• 유형
  • Stored XSS
    • 악성 스크립트가 브라우저에서 실행
  • Reflected XSS
    • 이메일
  • DOM XSS
    • 브라우저를 대상으로 URL을 이메일을 통해 발송하고 피해자가 URL 클릭 시 Document Object Model 공격 피해를 당하는 기법