XSS - hyunwoo-e/Spring GitHub Wiki

XSS

공격자가 악의적인 의도로 script(자바스크립트)를 작성해서 정보를 빼내는것.

Reflective XSS

공격자가 악성 스크립트가 포함된 URL을 클라이언트에게 노출시켜 클릭하도록 유도하여, 쿠키 정보를 탈취하거나 피싱 사이트, 불법 광고 사이트로 이동하게 한다.

Stored XSS

악성 스크립트를 DB에 저장하여 해당 DB 정보를 이용하는 애플리케이션을 통해, 시스템을 사용하는 모든 사용자들이 해당 스크립트를 실행하게 함으로써 사용자의 쿠키 정보를 탈취하거나 피싱사이트, 불법 광고 사이트로 이동하게 한다.

DOM XSS

DOM(Document Object Model)은 HTML, XML을 다루기 위한 프로그래밍 API로, AJAX 프로그램에서 사용되는 자바스크립트를 이용하여 브라우저에게 수신된 데이터를 다시 잘라서 Document에 Write 하는 작업을 수행하는 경우 XSS 공격이 가능하게 한다. )

Solution

Lucy-XSS-FILTER (사용 방법 : http://madeinjeon.tistory.com/45)