1) CSRF란 무엇인가?CSRF(Cross-Site Request Forgery)- 사이트간 요청 위조라는 의미를 가지고 있다.- 공격자는 사용자가 의도하지 않은 작업을 수행할 수 있도록 유도하는 취약점- 사용자가 의도하지 않은 요청이 공격자에 의해 수행된다.(ex: 사용자 정보 수정, 게시글 작성/수정/삭제, 회원탈퇴 등)- 악성 스크립트를 읽음으로써 사용자도 모르게 SNS에 게시글이 작성되는 등의 행위가 발생함 SQL Injection 같은 경우에는 공격자가 공격 구문을 넣고, 공격자가 파라미터를 변조하는 등 공격자의 직접적인 행위에 의해 공격이 발생한다.CSRF는 Client-Side Script 로 작성된 악성 스크립트를 사용자에게 읽게끔하여 공격자가 의도한 사용자 정보 수정, 패스워드 변경,..
1) XSS이란 무엇인가?동적으로 출력하는 페이지에 대해 클라이언트 언어로 작성된 악의적인 스크립트를 삽입하여 비정상적인 행위를 하는 공격클라이언트 언어(Client Side Script) - HTML,CSS, JavaScriptXSS는 서버 측 공격이 아닌, 클라이언트(사용자) 측 공격이다.Scripting - 클라이언트 언어가 실행됨XSS 공격은 A사이트에서 B사이트로 이동하는 공격이다. 2) 공격 대상1. 기능적인 공격 대상2. 엔드 포인트 단의 공격 대상 SQL Injection- DB와 연결되어 있는 기능(게시판 등)에 대해 공격 XSS- 웹 사이트의 특정 기능(게시판, 검색창) 공격- 사용자에 대한 공격 웹 어플리케이션 진단 관점에서 볼 때, 사용자 입력값을 받아 웹 페이지를 구성하는 기..
