개발자의 끄적거림

크로스 사이트 스크립팅(XSS)이란 무엇일까요? 바로 이렇게 악의적으로 해커가 어떠한 게시판에 적어 놓았을때 해당 스크립트가 실행되며 사용자들의 컴퓨터에 악영향을 미치는 것을 말합니다. 비슷하게 알려진 CSRF는 사용자의 인증된 세션을 통한 공격이고 XSS는 세션없이도 가능하다는 점이 다릅니다. (원래 CSS였으나 이건 Cascading Style Sheets와 중복되서 XSS로 됬다고 합니다. ) Ex) alert("우헤헤 악성코드를 발동시키는 스크립트다!"); 해결방법 → > " → " ' → ' evaluation = evaluation.replace("", ">"); evaluation = evaluation.replace("'", """).replace('"', '''); Java..

jsp내에서 간단하게 XSS 해결 방법 그리고 제목이나 본문 등 xss 공격이 들어올 부분에 xssFilter 기능을 쓰면 된다.

XSS(크로스 사이트 스크립팅) 공격 XSS 공격은 사용자 브라우저에 전달되는 데이터에 악성 스크립트를 포함시킨 뒤, 사용자 브라우저에 실행되면서 해킹하는 공격이다. 대표적인 피해 사례로는 아래 세 가지가 있다. 1) Session ID를 얻어 정상 사용자인 척하면서 API를 호출해 데이터를 빼내거나 2) 사용자 브라우저에 악성 스크립트가 실행되면서 사용자 PC를 통제하거나 3) 사용자가 악성 스크립트가 있는 URL을 클릭하도록 유도해서, 악성코드 또는 프로그램이 다운로드 되도록 한다. (예: 트로이목마) XSS 공격은 '저장 XSS 공격', '반사 XSS 공격', 'DOM XSS 공격' 으로 나눠져 있다. 1. 저장 XSS 공격 저장 XSS 공격은 취약한 웹 서버에 악성 스크립트를 심어놓고, 사용자가 ..