xss 공격 예제

또 다른 것은, 그 이 공격을 위험 하 게 하는 것은 웹 서비스에 저장 될 수 있는 가능성-이 방법으로 그것은 오랜 기간 동안 많은 사용자에 영향을 미칠 수 있습니다. XSS는 취약한 시스템에 대해 수행할 수 있으며 취약점을 찾기가 어려운 경우도 있습니다. 그러나 SOAP UI 도구를 사용하여 이 취약점을 테스트하려면 해당 도구를 사용하여 API 수준 테스트를 이미 자동화해야 합니다. XSS에 대해 테스트하는 또 다른 솔루션은 브라우저 플러그인이 될 수 있습니다. 그러나, 플러그인공격의이 유형에 대해 확인하는 매우 약한 도구로 간주됩니다. 공격자는 XSS를 사용하여 의심하지 않는 사용자에게 악의적인 스크립트를 보낼 수 있습니다. 최종 사용자의 브라우저는 스크립트를 신뢰할 수 없으며 스크립트를 실행해야 한다는 것을 알 수 없습니다. 스크립트가 신뢰할 수 있는 원본에서 온 것으로 생각하기 때문에 악의적인 스크립트는 브라우저에서 유지하고 해당 사이트에서 사용하는 모든 쿠키, 세션 토큰 또는 기타 중요한 정보에 액세스할 수 있습니다. 이러한 스크립트는 HTML 페이지의 내용을 다시 작성할 수도 있습니다. 다양한 유형의 XSS 결함에 대한 자세한 내용은 사이트 간 스크립팅 유형을 참조하십시오.

이러한 유형의 공격에 대한 가장 좋은 보호 방법은 출력 위생이므로 응답 페이지에서 반환되기 전에 클라이언트 측에서 받은 모든 데이터를 소독해야 합니다. 위생화는 특수 HTML 문자를 HTML 엔터티 등가물로 변환하여 수행됩니다. 그런 다음 공격자는 웹 페이지 내에서 사용되고 피해자의 브라우저에서 소스 코드로 처리되는 악성 문자열을 삽입할 수 있습니다. 공격자가 소셜 엔지니어링을 사용하여 URL을 방문하도록 사용자를 유인하고 페이로드가 사용자가 클릭하는 링크의 일부인 XSS 공격의 변형도 있습니다. 테스터는 자동으로 테스트하는 동안에도 이 공격 유형에 대해 잘 알고 있어야 하며 결과를 적절하게 분석할 수 있어야 합니다. XSS(교차 사이트 스크립팅)는 클라이언트 측 코드 주입 공격입니다. 공격자는 합법적인 웹 페이지 또는 웹 응용 프로그램에 악성 코드를 포함시켜 피해자의 웹 브라우저에서 악성 스크립트를 실행하는 것을 목표로합니다. 실제 공격은 피해자가 악성 코드를 실행하는 웹 페이지 또는 웹 응용 프로그램을 방문할 때 발생합니다.