[Unifox] - 웹해킹 1차시

안녕하세요 오늘은 보안에 대해 알아볼거에요...

---

SOP (Same-Origin Policy) 란???

웹상에서 다른 출처로의 리소스 요청을 제한하는 정책이다.

여기서 출처(Origin)이란, 프로토콜 + 도메인 + 포트를 말한다..

  이 세 요소 중 하나라도 다르면 다른 Origin으로 간주한다.

 

만약 SOP가 없다면??? 어떤 일이 일어날까?!??!??!!

극단적인 예시를 들어보자. 온라인뱅킹 사이트의 세션 쿠키가 남아있는 상태에서

임의의 악성 사이트에 접속하게 되면, 그 사이트가 쿠키를 멋대로 써서

내 계좌에서 돈을 마구 뽑아버릴수도 있다!!!

 

이런 불의의 사고를 막기 위해.. SOP가 만들어진것이다.

---

XSS (Cross-Site Scripting) 란???

웹사이트에 악성 스크립트를 넣어서 실행시키거나 세션을 탈취하는 공격이다.

주로 JavaScript를 이용해 이루어지며, SQL Injection과 함께 가장 기초적인 취약점으로 알려져 있다..

 

공격 종류는 크게 세가지이다.

 

Reflected XSS

공격자가 악성 스크립트를 직접 클라이언트에게 전달하는 방식이다.

주로 악성 스크립트를 URL에 포함시켜 공격한다..

 

Stored XSS

공격자가 악성 스크립트를 서버에 저장시키고, 클라이언트와의 요청&응답을 통해 공격한다.

게시글 작성 등을 통해 서버에 악성 스크립트를 저장 시킬 수 있다..

서버의 필터링으로 인해 우회하기 어렵지만 한번 성공하면 광범위한 피해를 준다.

 

DOM Based XSS

공격자가 클라이언트의 DOM을 조작하는 공격이다.

서버의 원본 파일을 조작하는게 아니라 클라이언트만 건드린다는 특징이 있다..

---

기다려라 XSS 내가 간다

---