JavaScript 공격 및 방어 (XSS/CSRF)

Source

• Evernote/Technote scraps/Script Junkie JavaScript AttackDefend.md

Summary

이 문서는 웹 애플리케이션 보안의 중요성을 강조하며, OWASP Top 10 중 크로스 사이트 스크립팅(XSS)과 크로스 사이트 요청 위조(CSRF) 두 가지 공격 유형을 다룹니다. 특히 XSS 공격의 세 가지 유형(저장형, 반사형, DOM 기반)을 설명하고, 반사형 XSS의 작동 원리를 간단한 코드 예시로 보여줍니다. 방어 전략으로는 모든 입력 데이터의 출처를 의식하고, Microsoft AntiXSS 라이브러리 등을 사용하여 서버 측에서 입력 및 출력 데이터를 적절히 인코딩(정제)하는 방법을 제시합니다.

Key Points

• 웹 개발 시 보안은 종종 간과되지만, XSS와 CSRF와 같은 공격은 쉽게 간과될 수 있는 심각한 위협입니다.
• XSS는 사용자가 신뢰하는 웹사이트를 통해 악의적인 스크립트를 실행하는 공격으로, 저장형(Stored), 반사형(Reflected), DOM 기반(DOM-based) 세 가지 유형이 있습니다.
• 반사형 XSS 예시: 쿼리 스트링의 사용자 입력을 검증 없이 HTML에 직접 삽입하면 악성 스크립트가 실행될 수 있습니다.
• XSS 방어 핵심: 모든 입력(데이터베이스, 웹 서비스, 설정 파일 등)을 신뢰하지 않고, 서버 측에서 데이터를 정제(Sanitization)해야 합니다.
• 구체적 조치: Microsoft AntiXSS 라이브러리 등의 도구를 사용하여 HTML, JavaScript, CSS, XML 등 컨텍스트에 맞는 인코딩을 적용하여 입력과 출력을 보호합니다.

Related

• XSS(Cross Site Scripting) 취약점 개요 및 시리즈 소개

• 웹의 불안전한 JavaScript 사용 관행에 대한 측정 연구

• JavaScript 기반 분산 컴퓨팅 고려사항

• 웹 기반 악성코드 유포 메커니즘 및 OWASP Top 10(SQL Injection) 개요

• Developers don’t understand CORS

• 웹 기반 멀웨어 분석 및 방어 연구 동향

• 웹 애플리케이션 서버 측 보안 접근 방식에 대한 조사

• 웹사이트의 미래 호환성 유지 가이드 (MDN)

• 실용적인 HTTP Host 헤더 공격

• Web Workers: JavaScript 멀티스레딩

• Distributed Electronic Rights in JavaScript

• 2013년 한국 대상 대규모 제로데이 공격 분석 (IE & Java)

• 드라이브 바이 다운로드 공격 기법 및 사례 분석

• JavaScript 과잉 조직화 (Over-Organizing) 의 적절성

• 2017 년 JavaScript 테스트 개요 (Powtoon Engineering)

• 비동기적 JavaScript

• CAMP: Content-Agnostic Malware Protection

• 웹의 병목 현상: JavaScript

• JavaScript 의 현대적 활용 분야 (2019)

• 니들이 해킹을 알어? - 1부 (디스이즈게임 연재)

• JavaScript 성능 향상을 위한 Thread-level Speculation (TLS)

• DDoS 공격 시각화: VideoLAN 사례

• Design Patterns in JavaScript (tcorral)

• ML 기반 번들링: JavaScript 툴링의 미래

• 일베 게시글: 해킹툴 판매자 신고 가이드 (2013)

• JavaScript this 키워드 동작 원리

• 모바일 DDoS 공격의 현실화와 ‘좀비스마트폰’ 위협

• JavaScript Promises: 개념, 용어 및 표준화

• 검색만으로도 해킹에 노출된 청소년들

• 풀스택 JavaScript 프레임워크 학습 조언 (Quora)

• 더글라스 크록포드의 작업 철학 및 JavaScript 관점

• JavaScript 엔진의 동작 원리 (V8 기준)

• 모니터링 대상 중국 해커 커뮤니티 및 사이트 목록 (2006)

• 나쁜 인증 시도 방어하기 (1 편)

• List.js: HTML 리스트의 검색, 정렬, 필터링을 위한 경량 JavaScript 라이브러리

• 웹 서비스 회귀 테스트에 대한 체계적 매핑 연구 (2014)

• JavaScript 패키지 매니저의 간략한 역사 (npm, Yarn, pnpm)

• 웹 기반 연산 오프로딩 및 상태 시리얼라이제이션 연구 동향

• JSWhiz: JavaScript 메모리 누수 정적 분석 도구

• Brute-Force Attacks Explained: How All Encryption is Vulnerable

• 북마클릿(Bookmarklet) 정의

• 미국 침입자 사살 허용설 반박

• 대규모 JavaScript 애플리케이션 설계 및 엔지니어 성장

• IoT 환경 리눅스 OS 대상 웜 ‘리눅스 달로즈’ 분석

• Please don’t use these passwords. Sincerely, the Internet

• 중국 해킹툴 관련 사이트 목록 (2007)

• HTTP 기반 애플리케이션 방화벽 정책 분석

• Etsy의 비판 없는 사후 분석 (Blameless Postmortem)

• WPA)

• Rustle League, Anonymous 관련 계정 해킹

• 알람 시계 분해 및 회로 분석

• 어나니머스 코리아 실체 논란 및 보안 전문가의 비판

• xHelper Android 악성코드: 공장 초기화에도 제거 불가

• 브라우저 기반 사후 멀웨어 보호 (Browser Based Retroactive Malware Protection)

• 스마트 잠금 장치의 보안성: 안전할까, 아니면 어리석을까?

• HTTP Archive: jQuery 호스팅 및 버전 분산 분석 (2013)

• 종성 분리 알고리즘

• Authentication at Scale

• Web Workers API 개요 및 기본 사용법

• 맷 호난(Mat Honan) 아이클라우드 해킹 사건 분석

• HTML에서 Javascript와 CSS 기반으로 애니메이션을 구현하는 방법

• 자바스크립트에서의 Continuation-passing style (CPS) 소개

• Rogue Femtocell Owners: How Mallory Can Monitor My Devices

• requestAnimationFrame 사용법

• APT(지능형 지속 위협) 개요 및 주요 사례

• Prototype용 선택 상자 플러그인

• jQuery 이벤트 핸들링: .on() 사용 권장

• 자바스크립트 객체 더하기 연산의 타입 변환 규칙

• 브라우저 앙상블을 활용한 분산 컴퓨팅 (WeevilScout)

• 만화로 보는 DNS over HTTPS (DoH) 소개

• Freemarker 템플릿 상속을 통한 레이아웃 관리

• CSS :scope 가상 클래스의 용도 및 동작 방식

• Simple Ajax 예제