자꾸 헷갈리던 개념을 제대로 정리할 수 있는 과제가 다음 시간까지 주어졌다.
주제는, XSS와 CSRF의 차이점 !!!
XSS (Cross Side Script) 웹 어플리케이션에서 나타나는 취약점 중 하나로, 웹사이트 관리자가 아닌 이가 페이지에 악성 스크립트를 삽입할 수 있는 취약점 |
▶ 목적 : 쿠키 및 세션 갈취 |
▶ 공격 대상 : client 사이트 변조나 백도어를 통해 client를 공격한다. 해당 공격 서버에 대하여 피해가 나타난다. |
▶ XSS 방어법 1. 스크립트 문장으로 확인한다. ex) ( <script> alert(‘alert!!!!!!’); </script> ) => 게시되면 안전 |
CSRF (Cross Site Response Forgery) 웹 사이트 취약점 공격 중 하나로, 사이트 간 요청 위조를 의미함. 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정/삭제)를 특정 사이트에 요청하는 공격 |
▶ 목적 : 권한 도용 |
▶ 공격 대상 : 사용자 웹 서버를 공격하며 브라우저 상에서 사용자 요청을 변조하여 해당 사용자의 권한을 이용하여 악성 공격을 한다. 따라서 불특정 다수가 피해를 입는다. |
▶ CSRF 방어법 1. 입력화면 폼 작성 시 GET 방식 대신 POST 방식의 사용을 권유한다. 2. 토큰 기반 인증을 사용한다. 보안 시스템에서의 토큰이란, 크래딧 카드 크기의 작은 장치로서, 계속해서 변화하는 ID 코 드를 표시해준다. => 유저의 신원을 재확인하는 방식으로 Request 위조 방지 (사용자가 처음에 암호를 입력하면 토큰은 네트워크에 접속할 수 있는 ID를 그때그때 표시하 는 원리) |
XSS는 공격 대상이 client인 반면, CSRF의 공격 대상은 사용자라는 점에서 큰 차이가 있다.
꼭 기억할 것 !
'outside activities > [정보보안 프로젝트. 웹 해킹]' 카테고리의 다른 글
| snort 기능/구조/설치 (0) | 2017.09.09 |
|---|---|
| [Day 4-6] 방학 중 미팅 및 공모전 참가신청서 제출 (0) | 2017.09.05 |
| [Day 3] Burp suite를 이용한 XSS attack 알아보기 / OWASP - A2 인증 및 세션 관리의 취약점 (0) | 2017.05.31 |
| burp suite 프록시 설정 (0) | 2017.05.18 |
| 네트워크 구성도 구현 및 문제점 보완 (0) | 2017.05.02 |