웹 개발 (Frontend Developer)/보안3 CSRF (Cross Site Request Forgery) 크로스 사이트 요청 위조(CSRF)는 사용자가 현재 인증된 웹 애플리케이션에서 원하지 않는 동작을 수행하도록 유도하는 공격 방식입니다. 공격자는 이메일이나 채팅을 통해 링크를 보내는 등 소셜 엔지니어링 기법을 활용하여 사용자를 속이고, 해당 웹 애플리케이션에서 공격자가 의도한 특정 작업을 실행하도록 할 수 있습니다. 이러한 공격은 브라우저가 자동으로 세션 쿠키나 기타 인증 정보를 요청에 포함시키는 특성을 악용하기 때문에, 타깃이 된 웹 애플리케이션은 사용자의 실제 의도와 공격자가 유도한 요청을 구별하기 어렵게 됩니다. 이러한 공격은 고객 관계 손상, 무단 자금 이체, 비밀번호 변경, 데이터 탈취(세션 쿠키 탈취 포함)와 같은 심각한 결과를 초래할 수 있습니다. CSRF 공격이 성공하면 공격자는 사용자의 .. 2024. 11. 13. XSS (Cross-Site Scripting) 크로스 사이트 스크립팅(Cross-Site Scripting, XSS)은 웹 보안 취약점 중 하나로, 공격자가 취약한 애플리케이션과 사용자 간의 상호작용을 해치도록 하는 공격 기법입니다. 사용자가 웹사이트에 방문했을 때 해당 웹사이트를 가장하여 악성 코드를 실행하는 방식입니다.공격자는 여러 가지 방법으로 악성 코드를 삽입할 수 있는데, 대표적으로는 URL 끝에 악성 코드를 추가하거나, 사용자가 입력하는 내용을 표시되는 페이지에 악성 스크립트를 직접 게시하는 방식이 있습니다. 이를 통해 공격자는 사용자의 브라우저에서 악성 스크립트를 실행시켜 개인 정보 탈취, 세션 하이재킹, 요청 변조 등의 공격을 감행할 수 있습니다. 피해자가 웹 페이지를 로드하면 악성 코드가 사용자의 쿠키를 복사합니다.이후, 코드가 해커.. 2024. 11. 13. 동일 출처 정책 (Same-Origin Policy) & CORS 동일 출처 정책(Same-Origin Policy)은 중요한 보안 메커니즘으로, 한 출처에서 로드된 문서나 스크립트가 다른 출처의 리소스와 상호작용하는 것을 제한합니다. 이는 동일한 도메인, 프로토콜, 포트 조합을 가진 리소스에만 접근을 허용하는 방식으로 동작합니다. 동일 출처 정책은 잠재적으로 악의적인 문서를 격리하여 공격 경로를 줄이는 데 도움을 줍니다. 예를 들어, 인터넷상의 악성 웹사이트가 브라우저에서 JavaScript를 실행해 타사 웹 메일 서비스의 데이터를 읽는 것을 방지합니다. 하단에 예시를 보겠습니다 :출처(origin)는 URI 스킴, 도메인, 포트 번호로 구성됩니다. 예시 링크는 스킴 : http, 도메인 : normal-website.com, 포트 번호 : 80 으로 설정 했습니다... 2024. 11. 12. 이전 1 다음
