2. XSS 공격이 뭔지 알아요?
XSS 공격은 cross site scripting의 약어이며 크로스 사이트 스크립트 공격으로 owasp top 10 취약점 중 injection에 해당합니다.
Q. 약자가 CSS가 아니라 XSS인 이유
스타일시트를 정의하는 언어인 CSS와 혼용이 있을 수 있으므로 XSS로 정하였습니다.
또한 XSS는 클라이언트 사이드 취약점 중 하나로, 공격자가 웹 리소스에 악성 스크립트를 삽입해 이용자의 웹 브라우저에서 해당 스크립트를 실행할 수 있습니다.
종류는 크게 4가지가 있는데요, 악성스크립트가 서버에 저장되는 stored xss, 악성 스크립트가 url에 삽입되고 서버의 응답에 담겨오는 reflected xss, 악성스크립트가 url fragment에 삽입되는 DOM-based xss, 마지막으로 클라이언트의 브라우저 혹은 프라우저 플러그인에서 발생하는 취약점으로 sop 정책을 우회하는 universal xss 가 있습니다.