컴맹에서 컴공 그리고 화이트 해커가 되는 그날까지

🔒 Cross-Site Scripting (XSS) 완벽 가이드: 기초부터 고급 방어 기법까지안녕하세요, 보안 전문가 여러분! 오늘은 여전히 OWASP Top 10에서 중요한 위치를 차지하고 있는 XSS 취약점에 대해 심도 있게 다뤄보려고 합니다. 📌 최근 트렌드와 중요성 2023년에도 여전히 발생하고 있는 XSS 취약점. 특히 최근 某 대형 이커머스 플랫폼에서 발생한 stored XSS 취약점으로 인한 개인정보 유출 사고는 우리에게 큰 경각심을 주었습니다. 🎯 XSS의 기본 이해 XSS는 크게 세 가지 유형으로 구분됩니다: 1. Reflected XSS ```javascript// 취약한 예시app.get('/welcome', (req, res) => { res.send(`환영합니다, ${r..

5단계를 보자 xss는 단순히 데이터를 정확하게 유출하는 것만이 아닙니다. 때때로 공격자는 DOM에 새로운 요소를 주입하지 않고도 나쁜 일을 할 수 있다. Groovy Reader 2.0 Sign up for an exclusive Beta. 이렇게 있다 Sign up을 눌러보면 email을 넣을 수 있고 Next >> 를 누르면 서명해 줘서 고맙다는 말이 나온다. 문제 설명에서 DOM에 새로운 요소를 주입하지 않고도 나쁜 일을 할 수 있다. 라는 말로 봤을때 email을 작성하는 부분에 xss 공격을 해도 아마 안될 것 같다는 생각이 드는데... signup.html 코드에서 We're ignoring the email, but the poor user will nerver know! 라고 하는걸로 보..

XSS공격 (Cross Site Scripting)은 공격자가 상대방의 브라우저에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹 사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것을 말합니다. XSS 공격(XSS Attack)은 10가지 웹 애플리케이션 보안 취약점 목록인 OWASP Top10에 포함되어 있을 정도로 자주 발생하는 공격입니다. XSS 공격 방식으로는 쿠키 스니핑(Cookie Sniffing), 스크립트 암호화 및 우회, 악성 스크립트 유포, 키 로거(Key Logger), 마우스 스니퍼(Mouse Sniffer), 거짓 정보 추가 등이 있습니다. XSS 공격은 주로 스크립트 언어와 취약한 코드를 대상으로 합니다. XSS 공격의 3가지 유형: 반사형 XSS..