[정보보안기사] 03.어플리케이션 보안

멍멍이꿀주먹 2021. 5. 18. 11:49

웹어플리케이션에서 일어나는 취약점으로 관리자가 아닌 권한이 없는 사용자가 웹사이트에 스크립트를 삽입하는 공격

공격 유형	개요	설명
Persistent(Srored) XSS	지속형, 저장형	- 게시판 등의 DB 정보를 등록할 수 있는 곳에 스크립트 삽입 - 스크립트가 실행되게하여 클라이언트 단에서 공격자에게 쿠키 전송
Reflected XSS	반사형	- 사용자에게 입력 받은 값을 서버에서 되돌려 주는 곳에 스크립트 삽입 - 공격자가 악의적인 스크립트와 함께 URL을 사용자에게 누르도록 유도 - GET방식 검색기능 등에 취약점
DOM based XSS	Document Object Model	- 악의적인 스크립트가 포함된 URL을 사용자가 요청하게 되어 브라우저를 해석하는 단계에서 발생 - 클라이언트 측 코드가 원래 의도와 다르게 실행 - 서버측에서 탐지가 어려움

htmlspecialchars() 함수 이용하여 특수문자 필터링

strip_tags() 특수문자 제거

게시물에 등록되어 있는 스크립트 일반문자 치환