정의

XSS는 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있습니다. 공격자는 해당 취약점을 통해 특정 계정의 세션 정보를 탈취하고 해당 계정으로 임의의 기능을 수행할 수 있습니다.

특징

• 클라이언트 사이드 공격
• 세션 및 쿠기 노림

종류

Stored XSS

서버의 데이터베이스 또는 파일 등의 형태로 저장된 악성 스크립트를 조회할 때 발생하는 XSS

• 대표적으로 게시물과 댓글에 악성 스크립트를 포함해 업로드하는 방식
• 파급력이 크다

Reflected XSS

서버가 악성 스크립트가 담긴 요청을 출력할 때 발생

• 대표적으로 게시판 서비스에서 작성된 게시물을 조회하기 위한 검색창에서 스크립트를 포함해 검색하는 방식
• Click Jacking 또는 Open Redirect 등 다른 취약점과 연계

DOM-based XSS

XSS에 사용되는 악성 스크립트가 URL Fragment에 삽입되는 XSS

Universal XSS