HTML injection
설명
문자열을 지원하는 모든 필드에 대한 HTML 삽입을 통한 XSS를 확인합니다. 이는 경로, 쿼리, 헤더와 같은 HTTP 요청의 일부분뿐만 아니라 XML 필드, JSON 필드 등과 같은 본문 매개변수를 포함합니다. 주입된 값이 알려진 HTML 활성화 필드에 대한 응답을 모니터링하여 감지합니다.
복구
크로스사이트 스크립팅(XSS)은 공격자가 제공한 코드를 사용자의 브라우저 인스턴스에 반영하는 공격 기술입니다. 브라우저 인스턴스는 표준 웹 브라우저 클라이언트 또는 WinAmp 내의 브라우저, RSS 리더, 이메일 클라이언트와 같은 소프트웨어 제품에 포함된 브라우저 객체일 수 있습니다. 코드 자체는 일반적으로 HTML/JavaScript로 작성되지만 VBScript, ActiveX, Java, Flash 또는 기타 브라우저에서 지원하는 기술로 확장될 수도 있습니다.
공격자가 사용자의 브라우저에서 자신의 코드를 실행하도록 하는 경우 코드는 호스팅 웹 사이트의 보안 컨텍스트(또는 영역) 내에서 실행됩니다. 이 권한 수준에서 코드는 브라우저가 액세스하는 민감한 데이터를 읽거나 수정하고 전송할 수 있습니다. 크로스사이트 스크립트된 사용자는 계정이 탈취(쿠키 도난)되거나 브라우저가 다른 위치로 리디렉트되거나 방문 중인 웹 사이트가 제공하는 사기적인 콘텐츠가 표시될 수 있습니다. 크로스사이트 스크립팅 공격은 사실상 사용자와 웹 사이트 간의 신뢰 관계를 침해합니다. 파일 시스템에서 콘텐츠를로드하는 브라우저 개체 인스턴스를 사용하는 응용 프로그램은 시스템 침해를 허용할 수 있는 로컬 컴퓨터 영역에서 코드를 실행할 수 있습니다.
크로스사이트 스크립팅 공격에는 비영속적, 영속적 및 DOM 기반의 세 가지 유형이 있습니다.
비영속적 공격 및 DOM 기반 공격은 사용자가 일반적으로 악성 코드가 포함된 특별히 제작된 링크를 방문하거나 악의적인 웹 페이지를 방문하여 공격을 수행해야 합니다. 악성 폼을 사용하는 경우 취약한 리소스가 HTTP POST 요청만 허용하는 경우가 많습니다. 여기서 폼은 사용자의 동의 없이 자동으로 제출될 수 있습니다(예: JavaScript 사용). 악의적인 링크를 클릭하거나 악의적인 폼을 제출한 후 XSS 페이로드가 에코되고 사용자의 브라우저에서 해석되고 실행됩니다. 거의 제한 없는 요청(GET 및 POST)을 보내는 다른 기술로는 Adobe Flash와 같은 임베디드 클라이언트를 사용하는 것이 있습니다.
영속적 공격은 악성 코드가 일정 기간 저장되는 웹 사이트로 제출될 때 발생합니다. 공격자가 자주 선택하는 대상의 예로는 게시판 게시물, 웹 메일 메시지, 웹 채팅 소프트웨어가 있습니다. 의심치 않는 사용자는 웹 페이지를 보기만 하면 되며(예: 공격자 사이트 또는 이메일을 통해 전송된 악성 링크) 추가 사이트/링크에 상호 작용할 필요가 없습니다.
도움말