개요
- cross-site scripting (XSS)
- 크로스 사이트 스크립팅, 교차 사이트 스크립팅, 사이트 간 스크립팅, XSS 취약점
- 웹사이트 관리자가 아닌 사용자가 웹페이지에 악성 스크립트를 삽입하는 행위
- 게시판, 메일 등 사용자 입력을 허용하는 영역에 악의적인 스크립트를 삽입하는 것
- 게시판, 메일 등에 악의적 스크립트를 삽입하여 이용상 불편을 주거나, 쿠키 등 정보를 특정 사이트로 전송하는 일
- 정보 탈취(예: 쿠키 전송), 화면 위변조, 클릭 유도 등의 피해를 유발할 수 있다.
- 사회공학 기법과 결합되어 사용자를 속이는 수단으로도 활용된다.
유형
| 유형 | 설명 |
|---|---|
| Reflected XSS | 사용자 입력을 서버에서 검증 없이 바로 응답에 반영하는 경우 |
| Stored XSS (Persistent XSS) | 악성 스크립트가 데이터베이스 등에 저장되어 이후 사용자에게 전달되는 경우 |
| DOM-based XSS | 클라이언트 측 자바스크립트에서 사용자 입력을 처리하는 과정에서 발생하는 경우 |