XSS (크로스사이트 스크립트)

XSS (크로스사이트 스크립트)

1. 정의
   크로스 사이트 스크립팅 (또는 사이트 간 스크립팅) 이라고 불리며 영문명칭은 cross-site scripting 로 영문약어는 xss 이다 웹 애플리케이션에서 많이 나타나는 취약점의 하나로 웹사이트 관리자가 아닌 사용자가 웹페이지에 악성 스크립트를 삽입할수 있는 취약점이다.

그래서 웹개발자들은 주로 xss필터를 고려하여 개발을 한다. sanitize-html 은 이러한 공격 기법을 막기위해 나온 nodejs의 모듈이다.

2. sanitize-html (보안 라이브러리)
   html의 input 또는 textarea 또는 기타등등의 사용자 입력정보에 이란 정보를 적을시 웹브라우저에서 저게 txt가 아닌 script 기술로 받아들여서 사용자가 이를 악용하여 악성스크립트를 집어넣을 수 있다.
   이것을 방어하기 위한 node의 패키지모듈로 (script,a) 등등 기타 태그들을
   변환시켜주어 악성스크립트로 변질되는 것을 막아주는 보안 라이브러리다.
3. XSS 유형

1). stored XSS

• 공격용 악성 스크립트가 공격 대상의 DB등에 보존되어 있는 경우를 지속형 XSS 라고 한다.
• 주로 게시판이나 방명록, 회원 정보 같은 사용자의 입력 값을 저장, 열람 할 수 있는 곳에서 발생한다.
  2) Reflected XSS
  • 공격용 악성 스크립트가 공격 대상의 사이트가 아닌 다른 사이트에 있는 경우 이를 반사형 XSS라고 한다.
  • 주로 사용자 입력 값이 필터링 없이 그대로 웹 브라우저에서 파싱되는 경우 발생한다.