XSS-DOM-based/CSRF

DOM (Document Object Model)

-HTML 및 XML 문서에 접근하는 방법을 표준으로 정의하는 문서 객체 모델

-구조화된 문서를 표현하는 방식

-W3C의 공식 표준

_웹 페이지에 대한 인터페이스

_여러 프로그램들이 페이지의 콘텐츠 및 구조, 그리고 스타일을 읽고 조작할 수 있도록 함.

 

 

 

DOM-based : 악의적인 스크립트가 포함 된 URL을 사용자가 요청하게 되어 브라우저를 해석하는 단계에서 발생하는 공격

_ Stored 형태로 나타날 수도 있고, Reflected 형태로 나타날 수도 있어 두가지 영역에 걸쳐있다고 함.

-피해자의 브라우저에서 DOM 환경을 수정하여 클라이언트 측 코드가 예상치 못한 방식으로 공격 구문이 실행되는 XSS(Cross Site Scripting) 공격

-페이지 자체(HTTP 응답)는 변경되지 않지만, 페이지에 포함된 클라이언트 측 코드는 DOM환경에서 발생한 악의적인 변조로 인해 공격 구문이 실행

-다른 XSS공격에 비해 서버 측에서 탐지가 어렵다

-사용자의 요청에 따라 HTML을 다르게 해석하는 부분에 공격이 가능함

(특수문자 # 이후의 값은 서버로 전송되지 않는 기능을 가지고 있다고 함.)

 

 

 

 

 

XSS와 CSRF의 차이점

XSS(Cross-Site Scripting)

-웹에서 일어나는 취약점으로 관리자가 아닌 권한이 없는 사용자가 웹 사이트에 악성 스크립트를 삽입하는 공격 기법

-웹 사이트를 구성하는 코드에 해커가 악의적으로 악성 스크립트를 작성하여 hide처리를 시킨 후 웹 사이트의 코드중에서 취약한 부분이 있는 곳에 악성 스크립트를 삽입함

 

CSRF(Cross Site Request Forgery)

-특정 사용자를 대상으로 하지 않고, 불특정 다수를 대상으로 로그인된 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록, 송금 등)를 하게 만드는 공격

 

XSS 공격은 악성 스크립트가 클라이언트에서 실행되는 데 반해, CSRF 공격은 사용자가 악성 스크립트를 서버에 요청한다는 차이점이 존재

 

XSS(Cross Site Script) : 사이트간 스크립
-클라이언트에 접근하여 공격
CSRF(Cross Site Request Forgery) : 사이트간 요청 변조(위조)

-서버에 접근하여 공격

-피싱​을 활용

 

 

 

 

 

DOM-based 공격의 시나리오에 대해 알고 싶다면 아래 사이트를 이용해 주길 바람니다!

[XSS] DOM Based XSS(Cross Site Scripting) (tistory.com)

[XSS] DOM Based XSS(Cross Site Scripting)