owasp top 10에 나올만큼 큰 위협요인인 xss과 csrf는 비슷한 부분이 있지만 자세히 본다면 다른 기법입니다.
XSS(cross side script)
Web Application에서 나타나는 취약점중 하나로 웹사이트 관리자가 아닌 이가 page에 악성 script를 삽입할 수 있는 취약점이다. 사용자의 쿠키, 세션 탈취, 비정상기능 수행등을 수행한다.
CSRF(Cross-site request forgery)
사이트 간 요청 위조는 Web site 취약점 공격중 하나이다. 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정,삭제등)를 특정 웹사이트에 요청하는 공격을 말한다.
두 방식의 차이점을 쉽게하면 공격대상이 client인지server인지에 따라 분류된다.
또한, XXS는 쿠키나 정보를 탈취한다면 CSRF는 사용자의 비정상 행위를 발생시킨다.
XSS는 공격대상이 client가 된다. 사이트 변조나 백도어 등을 통해 client를 공격한다. 해당 공격 서버에 대한 피해가 특징이다.
설명 동영상 :
https://www.virtualforge.com/vmovie/xss_lesson_1/xss_selling_platform_v1.0.html
CSFR는 Web server를 공격하는 형태로 사용자를 통해 공격이 이루어 진다. 브라우져 상에서 사용자 요청을 변조하여 해당 사용자의 권한으로 악성 공격을 수행하게 된다. 불특정 다수가 피해를 입는 것이 특징이다.
설명 동영상 :
https://www.virtualforge.com/vmovie/xsrf/xsrf_attacked.html
by 춤추는 공학도
Comment