XSS 공격이란?
XSS(Cross-site Scripting): 웹 상에서 가장 기초적인 취약점 공격 방법의 일종으로, 악의적인 사용 자가 사이트에 스크립트를 넣는 기법. 공격 성공 시, 사이트의 사용자는 삽입된 코드를 실행하게 됨. 자바스크립트를 사용하여 공격하는 경우가 많음. HTML을 사용하는 것이므로 Text-Only 게시판 이나 BBCode를 이용하는 위키위키 등에서는 발생하는 경우는 없음. {{{#!html HTML}}}을 이용해서 HTML 태그를 사용할 수 있으므로 취약점이 있을 수 있음.
스크립트 태그
스크립트 태그로 자바스크립트 실행
예를 들어, <script>alert();</script>
$(‘.xss’).parents().ep(1).find(‘a’).eq(1).click();$(‘[data-action-retweet]’).click(); alert(‘XSS in Tweetdeck’) 이 방법은 막기가 쉽지만 만들어진 지 몇 십년 이상 되었거나 보안에 신경 쓰지 않아 막지 않는 경우도 있음
자바스크립트 링크
링크 태그로 자바스크립트 실행
<a href="javascript:alert('XSS')">XSS</a>
javascript: 로 시작하는 링크는 스크립트를 실행함. XSS를 실행하는 데만 사용되지는 않고, 링크 태그를 클릭할 경우, 다른 사이트로 이동하는 것을 막기 위해 아래와 같이 사용되는 경우도 있다.
