XSS와 CSRF의 차이점

자꾸 헷갈리던 개념을 제대로 정리할 수 있는 과제가 다음 시간까지 주어졌다. 

주제는, XSS와 CSRF의 차이점 !!! 

XSS (Cross Side Script) 웹 어플리케이션에서 나타나는 취약점 중 하나로, 웹사이트 관리자가 아닌 이가 페이지에 악성 스크립트를 삽입할 수 있는 취약점

▶ 목적 : 쿠키 및 세션 갈취

▶ 공격 대상 : client    사이트 변조나 백도어를 통해 client를 공격한다. 해당 공격 서버에 대하여 피해가 나타난다.

▶ XSS 방어법 1. 스크립트 문장으로 확인한다.    ex) (  <script> alert(‘alert!!!!!!’); </script>  )  => 게시되면 안전

CSRF (Cross Site Response Forgery) 웹 사이트 취약점 공격 중 하나로, 사이트 간 요청 위조를 의미함. 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정/삭제)를 특정 사이트에 요청하는 공격

▶ 목적 : 권한 도용

▶ 공격 대상 : 사용자 웹 서버를 공격하며 브라우저 상에서 사용자 요청을 변조하여 해당 사용자의 권한을 이용하여 악성 공격을 한다. 따라서 불특정 다수가 피해를 입는다.

▶ CSRF 방어법 1. 입력화면 폼 작성 시 GET 방식 대신 POST 방식의 사용을 권유한다. 2. 토큰 기반 인증을 사용한다.  보안 시스템에서의 토큰이란, 크래딧 카드 크기의 작은 장치로서, 계속해서 변화하는 ID 코  드를 표시해준다.  => 유저의 신원을 재확인하는 방식으로 Request 위조 방지  (사용자가 처음에 암호를 입력하면 토큰은 네트워크에 접속할 수 있는 ID를 그때그때 표시하   는 원리)

XSS는 공격 대상이 client인 반면, CSRF의 공격 대상은 사용자라는 점에서 큰 차이가 있다. 

꼭 기억할 것 !