CSP란CSP(Content Security Policy)는 컨텐츠 보안 정책으로 XSS나 데이터를 삽입하는 류의 공격이 발생했을 때,피해를 줄이고 웹 관리자가 공격 시도를 보고 받을 수 있도록 새롭게 추가된 계층이라고 한다.CSP에서 XSS 공격 등을 방지하기 위해 웹 페이지에 사용될 수 있는 자원의 위치나 출처 등에 제약을 건다. CSP 헤더는 1개 이상의 정책 지시문이 세미콜론으로 분리된 형태로 이루어져 있으며,정책 지시문은 지시문(default-src, script-src 등)과 1개 이상의 출처(self, https: 등)가공백으로 분리된 형태로 지정해야 한다. {{default-src 'self' https://example.com }} 위는 페이지 내부 자원들이 같은 오리진 혹은 exampl..
XSS란XSS, 크로스 사이트 스크립팅은 사이트 간 스크립팅이라는 이름의 웹 취약점 공격이다.웹 사이트의 관리자 혹은 허용된 권한이 아닌 악의적인 목적의 사용자가악성 스크립트를 삽입하거나 저장시켜 의도하지 않은 명령을 수행하도록 만드는 특징을 가지고 있다. XSS 공격을 통해 발생할 수 있는 공격은 다음 등이 있다. 1. 쿠키 및 세션 정보 탈취: XSS에 취약한 웹 게시판 등에 쿠키나 세션 정보를 탈취할 수 있는 document.cookie 등의 구문을삽입하여 해당 게시글을 열람하는 사용자의 정보를 가져가거나 탈취할 수 있다. 2. 악성 프로그램 다운 유도: 악성 스크립트를 활용하여 악성 프로그램을 다운받는 사이트로 리다이렉트 시키는 등의공격을 수행하여 악성 프로그램을 ..
Click jacking Click jacking이란 사용자가 사이트의 콘텐츠를 클릭(Click)할 때, 악성 사이트의 콘텐츠를 클릭하도록 하는 인터페이스 기반의 공격이다. jacking이 어떤 것을 도둑질하다, 훔치다 그런 느낌인데 예를 들면 세션 하이재킹과 같이 중간에서 어떤 것을 탈취하거나 의도하지 않게 동작하도록 만드는 것이다. Click jacking은 iframe 내 버튼이나 링크가 포함된 웹 사이트의 기능에 따라 공격이 달라진다. Click jacking vs CSRF CSRF 공격의 경우에는 사용자의 input 없이 전체의 요청을 위조하는 특징을 가지고 있지만, Click jacking 공격의 경우에는 사용자의 input이 있어야 공격이 가능하다. 주로 iframe을 통해 PoC 코드를 구..
