XSS & CSRF 주요 이론 정리

1. Clientside 취약점

• 웹 서버의 이용자를 대상으로 공격할 수 있는 취약점
• XSS(Cross Site Scripting)가 대표적

 

2. XSS

• 개념 : XSS는 클라이언트 측 웹 취약점 중 하나로, 공격자가 악성 스크립트를 웹 리소스에 삽입하여 사용자의 웹 브라우저에서 실행하도록 유도하는 공격 방식
• 공격 방식 : 공격자가 특정 웹사이트(XSS 취약점이 존재하는 페이지)에 악성 스크립트를 삽입 -> 사용자가 해당 페이지를 방문하면 스크립트가 실행되어 쿠키 및 세션 정보 탈취가 가능해지고, 공격자는 피해자의 계정으로 임의의 기능을 수행
• 보안 조치(SOP) : SOP(Same-Origin Policy) 정책으로 인해 다른 도메인에서 정보를 읽는 것이 어려워졌지만, 공격자들은 이를 우회하는 다양한 기술을 개발

 

 

3. CSRF (Cross-Site Request Forgery)

• 개념 : 사용자가 의도하지 않은 HTTP 요청을 보내도록 속여 공격자가 사용자의 권한을 사칭 및 악용하는 공격
• 목적 : 사용자의 권한을 이용해 특정 요청을 실행 (예: 계좌 이체, 비밀번호 변경).
• 공격 방법 : 사용자가 로그인된 상태에서 악성 링크를 클릭하면 자동으로 요청이 전송 -> HTML img 태그, form 태그 등을 활용하여 요청을 유도

 

 

 

4. XSS와 CSRF의 구분

공격 유형	XSS	CSRF
공격 대상	웹사이트 방문자	로그인된 사용자
공격 방식	악성 스크립트 삽입	사용자의 인증 정보를 도용
주요 피해	세션 탈취, 웹 변조	비밀번호 변경, 권한 탈취
방어 방법	입력 필터링, CSP 적용	CSRF 토큰, SameSite 쿠키