XSS(교차 사이트 스크립팅)란 무엇입니까? XSS의 종류!

교차 사이트 스크립팅이란 무엇입니까?



교차 사이트 스크립팅(XSS라고 함)은 일반적으로 웹 응용 프로그램에서 발견되는 보안 취약점 유형입니다. XSS 공격을 통해 공격자는 클라이언트 측 스크립트를 다른 사용자가 보는 웹 페이지에 삽입할 수 있습니다.

So, Yes it's client side hacking not in Node.js but just plain JavaScript.



공격자가 하는 일은 피해자가 링크를 열 때 피해자에게 스크립트가 삽입된 링크를 보내는 것입니다. 브라우저는 사이트를 열고 XSS 스크립트를 실행하여 세션 저장소나 쿠키와 같은 쿠키에서 사용자의 데이터를 훔칩니다.

document.cookie


그런 다음 Http 요청을 통해 사용자의 데이터를 공격자에게 보냅니다.
프로세스를 단순화하는 이미지는 다음과 같습니다.



XSS 유형:


1- 저장된 XSS



가장 단순한 종류의 XSS 공격입니다. XSS 스크립트는 데이터베이스로 전송되고 페이지가 로드될 때마다 호출됩니다.
전:
공격자가 블로그의 댓글 섹션에 XSS 스크립트를 넣고 댓글로 제출하면 작업을 수행하기 위해 페이지가 로드될 때마다 표시됩니다.

2- DOM XSS:



이런 종류는 내가 가장 좋아하는 것이기 때문에 다소 까다 롭습니다.
주로 다음을 사용하는 URL에서 발생합니다.

document.location


JavaScript가 공격 제어 가능한 소스(URL)에서 데이터를 가져와서 공격자가 악성 스크립트를 실행할 수 있도록 하는 innerHTML을 사용하여 HTML에 전달합니다.

이러한 유형의 XSS를 방지하려면 innerHTML 대신 innerTEXT를 사용하세요. 백엔드에서 입력을 필터링할 수 있도록 페이지에 동적 HTML을 추가하려는 경우 innerHTML을 사용해야 할 수 있습니다.

전:
http://www.example.com/userdashboard.html?context=Mary은 Mary를 위해 맞춤화된 대시보드입니다. 맨 위에 Mary용 기본 대시보드 문자열이 포함되어 있습니다.

다음은 이 웹 애플리케이션에 대해 DOM 기반 XSS 공격을 수행하는 방법입니다.

공격자는 다음 URL에 악성 스크립트를 삽입합니다. http://www.example.com/userdashboard.html#context= SomeFunction(somevariable).
피해자의 브라우저는 이 URL을 수신하고 http://www.example.com에 HTTP 요청을 보내고 정적 HTML 페이지를 수신합니다.
브라우저는 페이지의 DOM을 구축하기 시작하고 document.URL 속성을 단계의 URL로 채웁니다. 브라우저는 HTML 페이지를 구문 분석하고 스크립트에 도달하여 실행하여 document.URL 속성에서 악성 콘텐츠를 추출합니다.
브라우저는 다음을 포함하도록 페이지의 원시 HTML 본문을 업데이트합니다.

<script>
SomeFunction(somevariable)
</script>


브라우저는 HTML 본문에서 JavaScript 코드를 찾아 실행합니다.

3- 반영된 XSS(비지속적 XSS):



교차 사이트 스크립팅을 위한 가장 일반적인 방법입니다.
Reflected XSS는 지속적인 공격이 아니므로 공격자는 각 피해자에게 링크를 전달해야 합니다. 이러한 공격은 종종 소셜 네트워크를 사용하여 이루어집니다.
이 경우 공격자의 페이로드는 웹 서버로 전송되는 요청의 일부여야 합니다. 그런 다음 HTTP 응답에 HTTP 요청의 페이로드(스크립트)가 포함되는 방식으로 다시 반영됩니다. 공격자는 악성 링크, 피싱 이메일 및 기타 사회 공학 기술을 사용하여 피해자가 서버에 요청하도록 유인합니다. 그러면 반영된 XSS 페이로드가 사용자의 브라우저에서 실행됩니다.


다양한 XSS 유형을 찾는 방법은 무엇입니까?



가장 쉬운 방법은 입력의 유효성을 검사하고 XSS 스캐너를 사용하는 것입니다.

자동화된 웹 보안 스캐너는 사이트의 취약점을 확인합니다. ... XSS(교차 사이트 스크립팅)에 취약한 웹 사이트는 공격자가 사용자가 보는 웹 페이지에 브라우저 측 스크립트를 삽입할 수 있도록 허용합니다.



트위터:

좋은 웹페이지 즐겨찾기