사이트 간 스크립팅 공격은 공격자가 피해자를 대신하여 조치를 취할 수 있도록 데이터를 도용하고 브라우징 세션을 가로채는 데 사용됩니다. 공격자는이 기회를 사용하여 웹 페이지를 변경하거나 소셜 계정에 게시하거나 은행 송금을 시작하거나 사기 구매를 할 수 있습니다.
이것은 웹 브라우저를 통해 악성 스크립트를 전송하도록 응용 프로그램과 웹 사이트를 속여 수행됩니다. 사용자 세션을 인수하는 가장 일반적인 방법은 양식 필드 또는 기타 데이터 입력 필드를 사용하여 코드를 삽입하는 것입니다.
사용자에 대한 위험
사용자의 세션을 가로채는 공격자는 사용자에게 영향을 주는 여러 가지 악의적인 조치를 취할 수 있습니다. 화폐로 말하면 은행 카드를 사용하여 사기 혐의를 제기하거나 다른 계좌로 직접 송금 할 수 있습니다.
쿠키와 데이터베이스에서 민감한 정보를 추출하는 데도 사용할 수 있습니다. 이 정보는 신원 도용에 사용할 수 있습니다.
기업 위험
공격자가 도난당한 사용자 자격 증명을 보유하면 비즈니스에도 큰 피해를 줄 수 있습니다. 사용자가 관리자 권한을 가지고 있는 경우 서버 측으로 공격을 확장할 수 있습니다.
기업도 신뢰성과 브랜드 신뢰의 상실로 고통받을 수 있다. 사용자와 고객은 자신의 정보가 위험할 수 있다는 것을 알고 있으면 사이트로 돌아 가지 않을 가능성이 더 큽니다.공격 유형
이 스크립트는 서버에서
문서-개체 모델 기반 공격은 서버와의 상호 작용이 필요하지 않습니다. 이 취약점은 브라우저 측 스크립트입니다. 웹 응용 프로그램은 쿼리 문자열에서 직접 악성 스크립트를 읽습니다. 이러한 방식은 반사된 공격 방식과 유사합니다.
지속적/저장적 공격
지속적 공격은 사이트를 방문하는 모든 사용자에게 영향을 줄 수 있기 때문에 가장 위험한 공격 유형입니다. 이 경우 스크립트는 양식 필드를 통해 데이터베이스에 삽입됩니다.
스크립트는 웹 사이트의 데이터베이스에 무기한 저장됩니다. 다음 사이트를 입력 한 모든 사용자는 자신의 세션이 납치 데 취약.
소프트웨어를 최신 상태로 유지
소프트웨어는 버그 수정,성능 개선,새로운 기능 설치 및 보안 취약점 패치 등 여러 가지 이유로 항상 최신 상태로 유지해야 합니다. 소프트웨어를 정기적으로 업데이트하면 사이트 또는 응용 프로그램이 취약점에 노출되는 취약성이 크게 줄어듭니다.
또한 모든 응용 프로그램을 감사하여 필요한 응용 프로그램과 거의 사용하지 않는 응용 프로그램을 확인해야 합니다. 당신이 더 취약점의 수를 줄이기 위해 사용하지 않는 모든 응용 프로그램을 제거하십시오.
입력 필드 살균 및 유효성 검사
입력 필드는 공격 스크립트의 가장 일반적인 입력 지점입니다. 따라서 항상 데이터 필드에 대한 정보 입력을 선별하고 유효성을 검사해야 합니다. 이는 특히 중요한 데이터입니다.
추가 예방 조치로 클라이언트 쪽과 서버 쪽 모두에서 유효성 검사가 수행되어야 합니다. 서버로 전송되기 전에 데이터의 유효성을 검사하면 영구 스크립트로부터 보호받을 수 있습니다. 이것은 자바 스크립트를 사용하여 수행 할 수 있습니다.
웹 응용 프로그램 방화벽
웹 응용 프로그램 방화벽 웨이프는 공격을 나타낼 수 있는 봇 및 기타 악성 활동을 필터링할 수 있습니다. 그런 다음 스크립트가 실행되기 전에 공격을 차단할 수 있습니다.
콘텐츠 보안 정책
콘텐츠 보안 정책은 웹 사이트에서 수행할 수 있는 기능을 정의할 수 있습니다. 그들은 어떤 인라인 스크립트를 수락에서 웹사이트를 방지 하기 위해 사용할 수 있습니다. 이것은 당신의 처분에 가장 강력한 방법이 될 수 있습니다.