HTML 주입
설명
문자열을 지원하는 모든 필드에 대한 HTML 주입을 통한 XSS를 확인합니다. 이는 경로, 쿼리, 헤더와 같은 HTTP 요청의 일부뿐만 아니라 XML 필드, JSON 필드 등과 같은 본문 매개변수를 포함합니다. 주입된 값을 알려진 HTML을 지원하는 필드에 대한 응답을 모니터링하여 감지합니다.
복구
교차 사이트 스크립팅(XSS)은 공격자가 제공한 코드를 사용자의 브라우저 인스턴스에 반영하는 공격 기술입니다. 브라우저 인스턴스는 표준 웹 브라우저 클라이언트 또는 WinAmp 내의 브라우저 객체 등의 소프트웨어 제품에 포함된 브라우저일 수 있습니다. 코드 자체는 주로 HTML/JavaScript로 작성되지만 VBScript, ActiveX, Java, Flash 또는 브라우저가 지원하는 기술로 확장될 수도 있습니다.
공격자가 사용자의 브라우저에서 자신의 코드를 실행하게 되면 코드는 호스팅 웹 사이트의 보안 컨텍스트(또는 영역) 내에서 실행됩니다. 이 권한 수준에서 코드는 브라우저가 접근 가능한 민감한 데이터를 읽거나 수정하고 전송할 수 있습니다. XSS된 사용자는 계정이 탈취(쿠키 도용)되거나, 그들의 브라우저가 다른 위치로 리디렉션되거나, 방문 중인 웹 사이트에 의해 전달된 부정한 콘텐츠가 표시될 가능성이 있습니다. 교차 사이트 스크립팅 공격은 사실상 사용자와 웹 사이트 간의 신뢰 관계를 침해합니다. 파일 시스템에서 콘텐츠를 불러오는 브라우저 객체 인스턴스를 활용하는 애플리케이션은 로컬 머신 영역 아래에서 코드를 실행할 수 있어 시스템을 침해당할 수 있습니다.
교차 사이트 스크립팅 공격에는 비영속적, 영속적 및 DOM 기반의 3가지 유형이 있습니다.
비영속적 공격과 DOM 기반 공격은 사용자가 특수하게 프로덕션된 악성 코드가 들어 있는 링크를 방문하거나 공격을 수행할 취약한 사이트로 전송되는 악성 웹 페이지를 방문해야 하는 경우에 발생합니다. 또한 악성 폼을 사용하는 경우도 자주 발생하며, 해당 취약한 리소스가 HTTP POST 요청만 허용하는 경우에 사용됩니다. 이러한 경우에는 자바스크립트를 사용하여 피해자의 동의 없이 (예: 자동으로) 폼을 제출할 수 있습니다. 악성 링크를 클릭하거나 악성 폼을 제출한 후, XSS 페이로드가 반사되어 사용자의 브라우저에서 해석되고 실행됩니다. 다른 거의 모든 임의의 요청(GET 및 POST)을 전송하는 또 다른 기술은 Adobe Flash와 같은 내장 클라이언트를 사용하는 것입니다.
영속적 공격은 악성 코드가 일정 기간 동안 저장되는 웹 사이트로 제출되는 경우에 발생합니다. 공격자의 즐겨 찾는 대상 예로는 게시판 게시물, 웹 메일 메시지 및 웹 채팅 소프트웨어가 있습니다. 악의 없는 사용자는 추가적인 사이트/링크(예: 공격자 사이트 또는 이메일을 통해 전송된 악의적인 링크)와 상호작용할 필요가 없으며, 단순히 코드가 포함된 웹 페이지를 보기만 하면 됩니다.
도움말