CS

XSS / CSRF

행복한 기린님 2023. 4. 27. 19:59

웹 상에 존재하는 취약점을 공격하는 대표적인 기법으로 SQL injection, XSS, CSRF 등이 있습니다.

크게 공격자가 사용자를 노리는 XSS. 공격자가 서버를 노리는 CSRF로 나눌 수 있습니다.

위 기법을 통해 공격자는 쿠키, 세션 등 민감한 정보를 통해 이득을 얻고자 합니다.

 

XSS(Cross-site Scripting)

약자로 CSS이지만 html를 수정하는 style css와 혼동된다해서 XSS로 표현합니다.

XSS는 웹사이트에 악성 스크립트를 주입함으로서 해당 스크립트를 열람하는 사용자들에게 피해를 주는 방법입니다.

XSS는 Reflected XSS, Stored XSS, DOM Based XSS가 있습니다.

Reflected XSS

Reflected XSS는 가장 일반적인 XSS공격 기법으로 서버에서 사용자로부터 값을 입력받고 되돌려줄 때 발생합니다. 예를 들어, https://example.com/?name=<script>alert(document.cookies)</script> 와 같이 input값이 url에 get방식으로 바로 드러나는 경우 이러한 url을 공격자가 보유합니다. 무작위로 URL을 사용자들에게 뿌리고 해당 URL에 접속하는 유저는 스스로 스크립트를 실행하여 자신도 모르는 사이 피싱사이트로 이동하거나 쿠키를 전송하거나 특정 동작을 수행하게됩니다.

요즘에는 브라우저단에서 막기도하고 vue, react를 사용하여 웹사이트를 구성하면 자동으로 '/' 구문이나 ' 문자를 치환하여 사용하는 등 자체적으로 막기도 합니다. 

Stored XSS

Stored XSS는 게시판에 <script>구문을 넣음으로서 해당 게시글을 읽는 사용자들에게 특정 동작을 수행하도록 합니다. 주로 쿠키나 개인정보를 공격자의 서버로 보내는 행위를 수행합니다. 이를 통해 사용자의 계정을 탈취하도록 시도합니다. XSS는 사용자가 사이트를 신뢰하는 것을 노린 공격입니다.

'<' '>' 문자를 다른 문자로 치환하여 사용하고 script 단어를 필터링 하는 형태로 방어할 수 있습니다.

또한, CSP(Content Security Policy)를 사용하여 외부서버의 스크립트 실행을 막는 정책도 있습니다. 

 

CSRF(Cross-Site Request Forgery)

사이트 간 요청 위조라는 뜻입니다.

CSRF는 웹 애플리케이션 보안 취약점 중 하나로, 해커가 인증된 사용자의 권한을 이용하여 악의적인 요청을 보내는 공격입니다. 이를 통해 해커는 사용자의 계정을 이용하여 웹사이트에 대한 이용권한을 획득하거나, 중요한 데이터를 변경하거나 삭제하는 등의 행위를 할 수 있습니다. 2008년 발생한 옥션 개인정보 탈취 사건에서 이 방법을 통해 관리자 계정을 탈취했습니다.

 

공격 방법

링크를 이용한 공격 - 해커가 악성 링크를 만들어 사용자에게 보내고, 사용자가 클릭하면 악성 요청이 전송됩니다.

이미지를 이용한 공격 - 해커가 악성 이미지를 포함한 HTML을 만들어 사용자에게 보내고, 해당 페이지가 열리면서 악성 요청이 전송됩니다.

자바스크립트를 이용한 공격 - 해커가 악성 자바스크립트를 포함한 HTML을 만들어 사용자에게 보내고, 해당 페이지가 열리면서 자동으로 악성 요청이 전송됩니다.

 

CSRF 공격을 방지하기 위해서는 CSRF 토큰을 사용하는방법이 대표적입니다. 이 방법은 서버에서 랜덤한 문자열을 생성하여 사용자의 세션에 저장하고, 이를 폼에 포함하여 전송합니다. 사용자의 요청이 서버로 전송될 때, 서버에서는 요청에 포함된 토큰과 사용자 세션ㅇ에 저장된 토큰이 일치하는지 검증하고 사용자의 명령을 신뢰하고 수행합니다.

 

또한, HTTP Refered 검증, 요청 메소드 제한, CORS 설정 등의 방법도 있습니다. 

 

 

정리를 하면서 배운점은 프론트단, 백단 할것 없이 항시 보안을 신경써야하며 
보안은 계속해서 덧대는 것이지 한번에 모든 것을 막고 모든 것을 예방할 수는 없다는 것이었습니다.
좋은 개발자라면 항상 보안에 대해 신경을 쓰며 작업을 해야합니다.
도중에 추가하려고하면 테스트도 필요하고 로직 수정 중에 멘탈이 나갈 수 있습니다.

 

 

참고

https://namu.wiki/w/XSS

https://facelight.tistory.com/110

https://namu.wiki/w/CSRF

https://itstory.tk/entry/CSRF-%EA%B3%B5%EA%B2%A9%EC%9D%B4%EB%9E%80-%EA%B7%B8%EB%A6%AC%EA%B3%A0-CSRF-%EB%B0%A9%EC%96%B4-%EB%B0%A9%EB%B2%95

https://junhyunny.github.io/information/security/spring-boot/spring-security/cross-site-reqeust-forgery/

 

 

 

저작자표시 (새창열림)