XSS(Cross-Site Scripting)
크로스 사이트 스크립팅은 입력값을 제대로 검증하지 않아 발생하는 공격으로 꾸준히 OWASP TOP10에 올라와 있다.
웹서버에 악성 스크립트를 삽입하여 사용자의 쿠키와 세션 값 탈취, 악성 사이트로 이동 등의 공격을 한다.
CSRF(Cross-Site Request Forgery)
사이트 간 요청 위조공격CSRF는 XSRF라고도 하며, XSS와 마찬가지로 입력값을 제대로 검증하지 않아 발생하는 공격으로 사용자가 자신의 의지와는 상관없이 게시글 수정,삭제, 패스워드 변경등을 하게 만드는 공격이다.
CSRF 공격의 경우 메일이나 게시판 글을 이용하여 공격 코드를 삽입하여 공격을 한다.
XSS와 CSRF의 차이점
xss의 경우 공격대상이 이용자이고, CSRF의 경우는 공격대상이 서버이다.
XSS는 서버에 영향을 주지는 않지만 사이트가 변조될 수 있고, CSRF는 요청을 위조해 서버에 영향을 준다
'hacking' 카테고리의 다른 글
ettercap을 이용한 ARP 스푸핑 (0) | 2018.06.14 |
---|