>운영 및 유지보수 >안전 >XSS 공격의 원리는 무엇인가

XSS 공격의 원리는 무엇인가

王林
王林앞으로
2020-06-13 17:55:274743검색

XSS 공격의 원리는 무엇인가

CSS라고도 하는 XSS는 Cross-site scripting 공격을 의미하며 CSS CSS 스타일 시트와 구별하기 위해 XSS라고 합니다. 이는 웹 프로그램의 일반적인 취약점입니다.

원리:

공격자는 XSS 취약점이 있는 웹사이트에 악성 HTML 코드를 입력합니다. 다른 사용자가 웹사이트를 탐색하면 사용자의 쿠키를 훔치는 등 공격 목적을 달성하기 위해 HTML 코드가 자동으로 실행됩니다. 페이지 구조를 파괴하고 다른 웹사이트로 리디렉션하는 등의 작업을 수행합니다.

예: 포럼의 댓글 기능은 XSS를 필터링하지 않으므로 이에 대해 댓글을 달 수 있습니다. 댓글은 다음과 같습니다.

<script>
while(true) {
    alert(&#39;你关不掉我&#39;);
}
</script>

JS 콘텐츠 텍스트가 포함된 댓글을 게시할 때 서버가 이를 필터링하거나 이스케이프하지 않는 경우 현재 이 스크립트는 페이지에 콘텐츠로 게시되며 다른 사용자가 이 페이지를 방문할 때 이 스크립트를 실행하게 됩니다.

이것은 단순한 예일 뿐입니다. 악의적인 행위자는 위 코드를 악성 코드로 변조하여 쿠키나 기타 정보를 훔칠 수 있습니다.

XSS 유형:

일반적으로 다음과 같이 나눌 수 있습니다. 영구 XSS 및 비영구 이 XSS 스크립트에 의해 공격됩니다. (예: 위의 댓글 기능)

2. 비영구 XSS는 페이지 URL의 특정 매개변수에 대해 소란을 피우고 URL 매개변수에 신중하게 구성된 악성 스크립트를 래핑한 다음 URL을 페이지에 게시합니다. 비영구적인 XSS의 보안 위협은 상대적으로 적습니다. 왜냐하면 서버가 필터링을 위해 비즈니스 코드를 조정하는 한 해커가 신중하게 구성한 URL은 즉시 무효화되기 때문입니다. 반면, 지속적인 XSS 공격은 악성 코드의 데이터를 삭제하기 위해 여러 테이블을 삭제하고 많은 라이브러리를 쿼리해야 하는 경우도 있습니다.

추천 튜토리얼:

웹 서버 보안

위 내용은 XSS 공격의 원리는 무엇인가의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 juejin.im에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제