Xss 공격이란 무엇입니까?

사이트 간 스크립트 약어는 CSS 이지만 CSS (cascading style sheet) 약어와 혼동됩니다. 사이트 간 스크립팅 공격은 일반적으로 XSS 로 축약됩니다.

사이트 간 스크립팅 공격 (XSS) 은 가장 일반적인 웹 어플리케이션 보안 취약점입니다. 이러한 취약점을 통해 공격자는 일반 사용자가 액세스하는 페이지에 악성 스크립트 코드를 포함할 수 있으며, 일반 사용자가 페이지에 액세스할 때 포함된 악성 스크립트 코드가 실행되어 악의적인 공격 사용자의 목적을 달성할 수 있습니다.

둘째, 크로스 사이트 스크립팅 공격 유형

공격 코드의 작동 방식을 보면 세 가지로 나눌 수 있습니다.

1. 지속성 교차 사이트: 가장 직접적인 위험 요소 중 하나로, 교차 사이트 코드는 서버 (데이터베이스) 에 저장됩니다.

2. 비지속 사이트: 반사적 사이트 간 스크립트 취약점, 가장 일반적인 유형입니다. 사용자 액세스 서버-사이트 간 링크-사이트 간 코드를 반환합니다.

3.DOM XSS: DOM (문서 객체 모델), 클라이언트 스크립트 처리 논리로 인한 보안 문제.

셋째, 크로스 사이트 스크립팅 공격의 수단과 목적

일반적으로 사용되는 XSS 공격 방법 및 목적은 다음과 같습니다.

1, 중요한 정보를 얻기 위해 쿠키를 훔칩니다.

2. Flash 를 이식하면 도메인 간 권한 설정을 통해 더 높은 권한을 얻을 수 있습니다. 또는 Java 를 사용하여 비슷한 작업을 얻을 수 있습니다.

3. iframe, frame, XMLHttpRequest 또는 위의 Flash 를 (공격당한) 사용자로 사용하여 일부 관리 작업을 수행하거나 마이크로블로깅, 친구 추가, 사신 전송 등과 같은 일반적인 작업을 수행합니다.

4. 공격 가능한 도메인이 다른 도메인에 의해 신뢰할 수 있는 특성을 이용하여 신뢰할 수 있는 출처로서 부당한 투표 활동과 같이 일반적으로 허용되지 않는 작업을 요청합니다.

5. 방문량이 많은 일부 페이지의 XSS 는 작은 사이트를 공격하여 DDoS 공격의 효과를 얻을 수 있다.

넷째, 크로스 사이트 스크립팅 공격의 방어

XSS 공격은 주로 프로그램 취약점으로 인해 발생합니다. XSS 보안 취약점을 철저히 예방하기 위해서는 프로그래머의 높은 프로그래밍 능력과 안전 의식에 크게 의존해야 한다. 물론 보안 소프트웨어 개발 프로세스 및 기타 프로그래밍 보안 원칙도 XSS 보안 취약점의 발생을 크게 줄일 수 있습니다. XSS 취약점을 방지하기 위한 이러한 원칙은 다음과 같습니다.

1. 사용자가 제출한 내용을 믿지 말고 URL, 쿼리 키워드, HTTP 헤더, REFER, 게시물 데이터 등을 포함하여 사용자가 제출한 모든 내용에 대해 신뢰할 수 있는 입력 검증을 수행합니다. , 지정된 길이 범위 내에 제출된 적절한 형식과 예상 문자가 있는 내용만 받아들이고 기타 모든 내용을 필터링합니다. GET 대신 우편으로 양식을 제출하려고 합니다. 맞습니다. "

2. 세션 토큰, 인증 코드 (인증 코드) 시스템 또는 HTTP 참조 헤더 검사를 구현하여 타사 웹 사이트에서 기능을 수행하지 못하도록 합니다. 사용자가 제출한 정보의 img 와 같은 링크의 경우 사이트로 리디렉션하는 등 의심스러운 작업이 있는지 또는 실제 그림이 아닌지 확인합니다.

3, 쿠키 도난 방지. 쿠키에서 사서함, 암호 등과 같은 사용자 개인 정보를 직접 공개하지 마십시오. 쿠키를 시스템 IP 에 바인딩하여 쿠키 누출 위험을 줄입니다. 이렇게 공격자가 얻은 쿠키는 실용적 가치가 없어 직접 재생 공격에 사용하기가 어렵다.

4. 수신된 내용이 정확하게 표준화되었는지 확인하고, 가장 작은 보안 레이블 (JavaScript 없음) 만 포함하고, 원격 내용 (특히 스타일시트와 JavaScript) 에 대한 참조를 삭제하고, http 전용 쿠키를 사용합니다.