XSS와 CSRF의 특징

🌐 Backend

XSS와 CSRF의 특징

DevPoong 2023. 9. 11. 20:19

XSS(Cross-Site Scripting)

공격자가 웹 상에서 SQL Injection과 같은 방법으로 공격하려는 사이트에 악의적인 스크립트를 주입하는 공격이다.
주로, 다른 웹 사이트와 정보를 교환하는 방식으로 동작하기 때문에 Cross Site Scripting이라고 명칭한다.

해당 취약점은 웹 애플리케이션이 사용자의 입력값을 제대로 검사하지 않고 사용할 경우 나타날 수 있으며, 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 강제로 실행하게 된다. 일반적으로 쿠키, 세션, 토큰을 탈취하거나 다른 민감한 정보를 탈취하거나 클라이언트 코드를 재작성하여 해킹하기도 한다.

악의적인 컨텐츠로는 자바스크립트를 사용하여 공격하는 경우가 많다.
1) 쿠키나 세션 정보 탈취
2) 접속자를 자신이 의도한 페이지로 리다이렉트
3) 정상적인 사이트인척 위조하여 사용자의 컴퓨터에 악의적인 공격

공격 루트로는 게시판 등의 input 박스에 코드를 삽입하거나, 닉네임에 코드를 심어서 공격하기도 한다.

이렇듯 공격 방법에 따라 Stored XSS와 Reflected XSS로 나뉜다.

Stored XSS
- 사이트 게시판이나 댓글, 닉네임 등 스크립트가 서버에 저장되어 실행되는 방식
- 가장 위험하고 일반적인 공격 유형
- 사용자가 게시물을 열람할 때, 공격자가 입력해놓은 악성 스크립트가 실행되어 사용자의 쿠키 정보 등을 탈취
- 서버에 저장된 악성 코드는 시스템 자체를 공격할 수도 있으면 웹 사용자들에게 악성 코드를 전달해버릴 수도 있다.
Reflected XSS
- URL 파라미터에 스크립트를 넣어 서버에 저장하지 않고 그 즉시 스크립트를 만드는 방식
- 피싱 공격의 일부로 자주 사용되며, 차단하기는 쉬움
- 링크를 클릭하도록 피해자를 속이고, 유인해 세션을 하이재킹 할 수 있다.
- 웹 애플리케이션은 악성코드를 피해자에게 반사하여 피해자의 웹 브라우저에 악성코드를 실행할 수 있다.

XSS 공격 예방 방법

HttpOnly 속성 ON
- 자바스크립트의 document.cookie를 이용해서 쿠키에 접속하는 것을 막는 옵션
- 기본적으로 ON하는게 좋다.
User Input value 제한
- 사용자의 입력값이 한정적인 범주안에 있다면, 드롭다운 방식으로 미리 입력될 데이터값을 통제할 수 있다.
Santize value
- 악성 HTML을 필터링 해주는 라이브러리를 사용

CSRF (Cross-Site Request Fogery, XSRF)

사이트 간 요청 위조는 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹 사이트에 요청하게 하는 공격이다.

XSS를 이용한 공격이 사용자가 특정 웹 사이트를 신용하는 점을 노렸다면, CSRF 특정 웹 사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다.

사용자가 웹 사이트에 로그인 되어 있는 상태에서 CSRF 공격 코드가 삽입되어 있는 페이지에 들어가면 공격 대상이 되는 웹 사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격을 당하게 된다.

은행 서버로부터 돈을 인출하는 API가 img 태그로부터 호출되면 만약 해당 은행 사이트에 대한 쿠키가 유효한 상태라면 HTML이 로딩되는 순간 돈이 빠져나가게 될 것이다.

<img src="https://bank.example.com/withdraw?account=you&amount=1000000&for=me">

CSRF의 공격이 성공하려면 (1) 위조 요청을 전송하는 서비스에 희생자가 로그인 상태여야 하고, (2) 희생자는 공격자가 만든 피싱 사이트에 접속해야 한다라는 조건이 있다.

CSRF 공격 예방

Referrer 검증 (Samesite 쿠키 설정)
- Back-end 단에서 Request의 referrer를 확인하여 domain이 일치하는지 검증하는 방법이다.
- referrer 검증을 통해 대부분의 csrf 공격을 방어할 수 있다.
- 민감한 정보를 담고 있는 쿠키는 유효 시간을 짧게 설정해야 한다.
- 쿠키의 SameSite 속성을 Strict 또는 Lax 로 설정한다. (Strict로 설정하면 도메인이 일치하지 않으면 쿠키가 저장되지 않는다.)
- 이러한 검증을 통해 브라우저에서는 cross-site 요청에 세션 쿠키를 보내지 않는다.
Security Token 사용 (CSRF Token)
- Referrer 검증이 불가한 환경이라면, Security Token을 활용한다.
- 사용자 세션에 임의의 난수 값을 저장하고 사용자의 요청마다 해당 난수 값을 포함시켜 전송한다.
- 이후 Back-end 단에서 요청을 받을 때마다 세션에 저장된 토큰 값과 요청 파라미터에 전달되는 토큰 값이 일치하는지 검증한다.

참고)

https://developer.mozilla.org/en-US/docs/Web/Security/Types_of_attacks#cross-site_scripting_xss

저작자표시