-
https://iamawebdeveloper.tistory.com/38
https://iamawebdeveloper.tistory.com/38?category=686570
Same origin policy
XSS, CSRF 모두 same origin policy를 위반하여 실행되는 공격이다.
둘다 쿠키값을 악용하는 공통점도 있다.
두 공격은 웹페이지에 악성 스크립트를 넣어서, 해당 페이지를 보는 victim은 악성스크립트를 실행하게 된다.
어떤 악성 스크립트를 만드냐에 따라 XXS, CSRF로 나뉘는거 같은데..XXS
purpose : attacker가 만든 script형태의 arbitray code를 victim이 수행하도록 한다.
http://xss-game.appspot.com/ 에서 다양한 형태의 XXS를 테스팅할 수 있다.e.g.) 공격 결과 cookies값을 가져오면, 해당 victim으로 로그인이 가능하다. web proxy프로그램 사용해서, 로그인시 cookies값만 바꿔서 request보내면된다. so called session hijacking
e.g.) redirection
method : XXS는 공격자의 arbitrary code를 실행하는게 주 목적이기때문에, victim은 arbitrary code가 있는 악성스크립트를 실행한 후, attacker에게 response를 해준다. 대표적으로 아래와 같이 scripg, img, div, iframe 등의 HTML element를 사용하여 악성 javascript를 만든다.
<script> … </script> <img src="javascript:… "> <div style="background-image:url(javascript…)"></div> <iframe></iframe>CSRF
purpose : 사이트에 권한이 있는 victim이 대상이다. attacker가 만든 request를 victim이 수행하도록 한다.
method : arbitray code를 실행할 수 는 없다. 공격자는 정상적인 page에 보내는 parameter만 변경할 수 있다.<form action="http://facebook.com/api/content" method="post"> <input type="hidden" name="body" value="여기 가입하면 돈 10만원 드립니다." /> <input type="submit" value="Click Me"/> </form>spring boot
'Network' 카테고리의 다른 글
Botnet (0) 2015.04.19 DDoS (0) 2015.04.17 Network layer (0) 2015.02.10 Ethernet(802.3), WLAN(802.11) 구분 (0) 2015.01.22 BGP up/down (0) 2014.10.30