갱스터의 블로그

The Cross-Site Scripting attack XSS에서는 공격자가 target 웹 사이트를 통해 피해자의 브라우저에 악성코드를 삽입한다. 브라우저는 해당 악성 코드를 실행시키는데, 이 악성코드는 유저(victim)의 권한으로 실행된다. 따라서 웹 사이트는 해당 접근이 신뢰가 가능하다고 판단하여 페이지에 존재하는 콘텐츠에 접근, 변경이 가능하고, 쿠키를 읽으며, 사용자를 대신하여 요청을 전송할 수도 있다. 즉, 해당 악성 코드는 유저가 웹 페이지에서 수행할 수 있는 모든 작업을 수행할 수 있다. 이때, 악성코드가 사이트를 거쳐서 오기 때문에 일종의 code injection attack, 즉 Cross-Site Scripting Attack(공격 우회)라고 한다. XSS는 사용자의 권한으로 코..

CSRF Attack Cross-Site Requests and Its Problems 어떤 웹 페이지에서 다른 웹 페이지를 접속할 때, 원래 접속해있던 웹 페이지에서 새로운 웹 페이지에 대해 요청을 전송한다. 이때, 동일한 웹 페이지에 대해 요청을 날리는 경우를 Same-site request, 서로 다른 웹 페이지에 대해 요청을 날리는 경우를 Cross-site request라고 한다. 그런데 우리는 Cross-site request를 악용하여 공격을 수행할 수도 있다. 어떻게 가능한 것인지 알아보자. 우선 어떤 웹 페이지에서 다른 웹 페이지로 접속할 때를 가정했을 때, 어떤 웹 페이지를 A, 다른 웹 페이지를 B라고 하자. A에서 B로의 접속 시 브라우저는 B와 관련된 쿠키 정보를 요청을 통해 B로..