250117-XSS, CSRF.md

XSS : 웹 페이지에 악성 Javascript를 삽입하여 HTML을 조작 / 악성스크립트를 웹사이트에 삽입 / 사용자를 공격

• 사용자 입력을 적절히 필터링 하지않으면, 공격자가 HTML 및 Js를 삽입할 수 있다.
• 방어 방법 : 입력값 검증(태그 차단), 출력값 인코딩, Content Security Policy설정 중 자기자신이 쓰는 script만 허용
• 출력값인코딩 같은 경우 -> 스크립트가 단순한 문자열로 인식되기 때문에 실행되지가 않음

CSRF : 사용자가 원하지 않는 요청을 강제로 서버에 보내게 만드는 공격 / 웹 서버를 공격

• 피해자가 로그인한 상태에서 악성 링크를 클릭하면 공격자가 요청을 서버에 전송 / 주로 권한 도용
• 방어방법 : Referrer검증(요청 헤더의 도메인과 일치하는지 확인), CSRF Token사용, 암호토큰 사용, CAPTCHA 사용