Web8: XSS 공격 - 2부: 저장된 XSS

Web8: XSS 공격 - 2부: 저장된 XSS

이전 글에서는 XSS (Cross Site Scripting) 오류와 XSS Reflected의 실제 활용에 대해 알아보았습니다. 더 위험한 것으로 간주되는 또 다른 유형의 XSS가 있습니다. 바로 저장된 XSS입니다.

해커가 타겟으로 삼은 소수의 피해자를 직접 공격하는 Reflected와 달리 Stored XSS는 더 많은 피해자를 타겟으로 합니다. 이 오류는 웹 애플리케이션이 입력 데이터를 데이터베이스에 저장하기 전에 철저하게 확인하지 않을 때 발생합니다(여기에서는 이 개념을 사용하여 애플리케이션 데이터를 저장하는 데이터베이스, 파일 또는 기타 영역을 참조합니다. 웹).

Stored XSS 기술을 사용하면 해커가 이를 직접적으로 악용하지는 않지만 최소한 2단계를 거쳐야 합니다.

첫째, 해커는 필터링되지 않은 입력 지점(양식, 입력, 텍스트 영역...)을 사용하여 데이터베이스에 위험한 코드를 삽입합니다.

Web8: XSS 공격 - 2부: 저장된 XSS

이후 사용자가 웹 애플리케이션에 접속해 이 저장된 데이터와 관련된 작업을 수행하면 사용자의 브라우저에서 해커의 코드가 실행된다.

Web8: XSS 공격 - 2부: 저장된 XSS

이 시점에서 해커는 목표를 달성한 것으로 보인다. 이러한 이유로 Stored XSS 기술을 2차 XSS라고도 합니다.

악용 시나리오는 다음과 같이 설명됩니다.

Web8: XSS 공격 - 2부: 저장된 XSS

Reflected XSS와 Stored XSS는 공격 프로세스에서 두 가지 주요 차이점이 있습니다.

  • 먼저 Reflected XSS를 악용하려면 해커는 피해자가 자신의 URL에 액세스하도록 속여야 합니다. Stored XSS의 경우에는 이렇게 할 필요가 없으며, 위험한 코드를 애플리케이션의 데이터베이스에 삽입한 후 해커는 피해자가 자동으로 액세스할 때까지 기다리면 됩니다. 피해자의 경우, 자신이 액세스하는 데이터가 감염되었는지 모르기 때문에 이는 완전히 정상적인 현상입니다.
  • 둘째, 공격 당시 피해자가 여전히 웹 애플리케이션 세션에 있으면 해커의 목표를 달성하기가 더 쉽습니다. Reflected XSS를 사용하면 해커는 피해자가 로그인하여 자신이 제공한 URL에 액세스하여 악성 코드를 실행하도록 설득하거나 속일 수 있습니다. 하지만 Stored XSS는 다릅니다. 악성코드가 웹 데이터베이스에 저장되어 있기 때문에 사용자가 관련 기능에 접근할 때마다 악성코드가 실행되며 이러한 기능은 인증이 필요할 가능성이 높습니다. 먼저 로그인을 해야 하므로 당연히 이 시간 동안은 당연합니다. 사용자가 아직 세션에 있습니다.

이러한 점에서 Stored XSS가 Reflected XSS보다 훨씬 더 위험하다는 것을 알 수 있으며, 영향을 받는 주체는 해당 웹 애플리케이션의 모든 사용자가 될 수 있습니다. 그리고 피해자가 관리 역할을 갖고 있는 경우 웹 하이재킹의 위험도 있습니다.


Chromebook을 별도의 화면이나 TV에 연결하는 방법

Chromebook을 별도의 화면이나 TV에 연결하는 방법

Chrome OS는 사용자가 Chromebook을 별도의 화면이나 TV에 연결할 수 있는 다양한 방법을 지원합니다.

ITop Data Recovery를 사용하여 컴퓨터 데이터를 복원하는 방법

ITop Data Recovery를 사용하여 컴퓨터 데이터를 복원하는 방법

iTop Data Recovery는 Windows 컴퓨터에서 삭제된 데이터를 복구하는 데 도움이 되는 소프트웨어입니다. 이 가이드에서는 iTop Data Recovery 사용 방법에 대해 자세히 설명합니다.

Cleaner One Pro로 Mac, Windows PC 속도를 높이는 방법

Cleaner One Pro로 Mac, Windows PC 속도를 높이는 방법

느린 PC와 Mac의 속도를 높이고 유지 관리하는 방법과 Cleaner One Pro와 같은 유용한 도구를 알아보세요.

MSIX란 무엇인가요? Windows의 새로운 파일 형식에 대해 알아보기

MSIX란 무엇인가요? Windows의 새로운 파일 형식에 대해 알아보기

MSIX는 LOB 애플리케이션부터 Microsoft Store, Store for Business 또는 기타 방법을 통해 배포되는 애플리케이션까지 지원하는 크로스 플랫폼 설치 관리자입니다.

키보드 없이 Windows 컴퓨터 화면에 로그인하는 방법

키보드 없이 Windows 컴퓨터 화면에 로그인하는 방법

컴퓨터 키보드가 작동을 멈춘 경우, 마우스나 터치 스크린을 사용하여 Windows에 로그인하는 방법을 알아보세요.

AMD Ryzen Master로 RAM을 쉽게 오버클럭하는 방법

AMD Ryzen Master로 RAM을 쉽게 오버클럭하는 방법

다행히 AMD Ryzen 프로세서를 실행하는 Windows 컴퓨터 사용자는 Ryzen Master를 사용하여 BIOS를 건드리지 않고도 RAM을 쉽게 오버클럭할 수 있습니다.

MS Edge를 실행하고 명령줄에서 URL을 여는 방법

MS Edge를 실행하고 명령줄에서 URL을 여는 방법

Microsoft Edge 브라우저는 명령 프롬프트와 같은 명령줄 도구에서 열 수 있도록 지원합니다. 명령줄에서 Edge 브라우저를 실행하는 방법과 URL을 여는 명령을 알아보세요.

컴퓨터에서 가상 드라이브를 생성하는 최고의 소프트웨어

컴퓨터에서 가상 드라이브를 생성하는 최고의 소프트웨어

이것은 컴퓨터에 가상 드라이브를 생성하는 많은 소프트웨어 중 5개입니다. 가상 드라이브 생성 소프트웨어를 통해 효율적으로 파일을 관리해 보세요.

이제 Windows Store에서 Surface 노트북 하드웨어 테스트 도구를 사용할 수 있습니다.

이제 Windows Store에서 Surface 노트북 하드웨어 테스트 도구를 사용할 수 있습니다.

Microsoft의 공식 Surface 하드웨어 테스트 도구인 Surface Diagnostic Toolkit을 Windows Store에서 다운로드하여 배터리 문제 해결 등의 필수 정보를 찾으세요.

USB에 숨겨진 파일과 폴더를 표시하는 방법

USB에 숨겨진 파일과 폴더를 표시하는 방법

바이러스가 USB 드라이브를 공격하면 USB 드라이브의 모든 데이터를 "먹거나" 숨길 수 있습니다. USB 드라이브의 숨겨진 파일과 폴더를 표시하는 방법은 LuckyTemplates의 아래 기사를 참조하세요.