본문 바로가기
컴퓨터

크로스 사이트 스크립팅(XSS) Cross site Scripting 이란 무엇인가?

by 마음의꿀단지 2008. 11. 27.


크로스 사이트 스크립팅(XSS) Cross site Scripting 이란 무엇인가?

신문이나 뉴스에서 자주 이런 위협적인 요소를 접할때
개인이나 기업모두 보안 강화와 한층더 솔류선 강화를 해야 합니다 .
하지만 보안에 무딘기업들, 업체들  상당히 많습니다. 무시해서는 절대 아니라고 봅니다.
새로운 소프트웨어와 기술이 날마다 발전해 가는 요즈음!
보안의 강화는 비용 소모를 위한 지출이라는 생각을 버리고
개인과 기업의 정보보호를 위해서 모두가 앞장 서야 할
 필수적인 요소라고 생각합니다 .


☞ 크로스 사이트 스크립팅(XSS) 이란?



웹사이트를 방문하면 방문자의 입력을 화면에 그대로 보여주고
만일 악의를 가진 유져가 form 등을 자바스크립등을 이용하여 스크립트 코드를 입력시
스크립트 내용이 HTML에 저장되어 페이지를 열었던 사용자에게
스크립트가 실행될 수 있다
웹페이지의경우 게시판이 취약한 요소중의 하나이기도 합니다.
외부사용자들이 글쓰기에 오픈이 되어 있기 때문이죠 .

  * 스크립트의 언어 종류로는 Active Perl, javascript, VBscript, JSP,PHP 등

일부는 쿠키의 자료을 읽고 웹페이지에서
  * Cookie는 유져 정보 및 방문일자 ,횟수가 기록 되므로  인터넷의 옵션 부분에서 쿠키를 확인 할 수 가 있습니다

이미 사용자가 결재했던 쿠키 자료를 도청
마치 본인인것처럼  쇼핑몰에서 물건을 구입하거나 사이트에 침입하여
막대한 피해를 줄수 있으므로 주의해야 합니다.
요즘엔 쇼핑몰 같은곳이 많은 타격이 되어 피해를 보고 있고,
또한 해당 운영업체는 보안 솔루션 강화와 철저한 모니터링이 필요한 시점이 아닌가 싶습니다 .


웹사이트를 제작할 때의 웹프로그래머가 이러한 보안적인 측면을 고려하여
웹페이지를 신중히 만들어야 할 겁니다.

사용자는 개인의 컴퓨터를 최소한의 보안을 하려면

1. 웹브라우져에서
      도구 - 인터넷 옵션 -일반
                    "쿠키삭제" 하여 쿠키를 비워주고 , "파일삭제" "설정"에서 캐쉬저장공간을 적당히 줄여 주면 좋습니다
                           

                                         
  
                      * "고급" 탭에 가서 " 브라우져 닫을 때 임시 인터넷 파일을 지우기" 에 체크를 하면
                         웹 브라우져를 종료할때
                         자동으로 임시 인터넷 파일을 받았던 내용을 지울 수도 있습니다 
 

      또한 웹서핑도중 display되는 스크립트 실행을 하지 말아야 겠죠 ..

2.웹부라우져의 팝업 차단 설정은 필수!

     도구 - 인터넷 옵션 -  개인 정보 -  팝업차단 에  체크를 반드시 해줍니다

    이 설정을 하지 않으면 웹서핑도중에 웹브라우져가 연속해서 실행되는 것을 방지 할 수 있습니다.
    이미 경험 하신 분도 있을 겁니다.
    특히 동영상 사이트 서핑을 하다보면 이런 경우가 종종 있거든요.



3.사용자 입장에서는 무분별하게 이곳 저곳 웹사이트를 가입을 가능하면 제한하고
    어느정도의 신뢰가 되는 웹사이트에만 가입을 한다면 최소한의 개인정보 보호가 될겁니다


☞ DDOS 공격(Distributed Denial of Service) 이란?


서비스를 방해하기 위해 대량의 트레픽을 전송하여 네트웍이나 시스템 및 웹 서비스를 다운시키는 방식인데
결국 시스템의 성능을 떨어 시스템을 사용 못하게 됩니다.
요즘은 주로 웹사이트 공격이 주가 아닐까 싶습니다.
트리형태인 좀비 PC를 만들어서 주로 공격!  이런  유형이 다양화 되어 트래픽 발생 근원지도 찾기 힘들다고 하네요
이곳 저곳 ...알수 없는 경유지를 거치고 ..또 거치고...이런 것 때문이죠

얼마전에 리오레이(RioRey)란 제품을 발표한 모젠소프트는
DDOS 공격을 방어하는 솔류션을 발표했고
이중화로 설계되어 있고 또한 안정적인 트레픽 과 함께 IP 필터링
구현되어 있다고 합니다. 
이외에도 나우콤의 스나이퍼 여러 제품이 출시되어 있고
보안장비의 선택은 해당 보안 담당자의 몫이네요 ..



 ☞ 피싱(Phising)은


금융사이트에서 많이 발생하는 것으로써
금융정보를 가로채어 카드 정보나 계좌정보를 빼내어서 불법적으로 이용하기도 합니다.
또한 메일로 보내어 금융정보의 유사사이트로 유인하여
개인의 정보를 가로 챕니다.

근래에는 또한
보이스 피싱 또한 자주 접하게 되네요
이것은
무작위로 전화를 걸어서 자동멘트에 의해 우체국에 뭐가 왔다는..주절주절.....일단 전화 목소리를 들어보면
금방 알 수 있습니다. 얼른 신고를 해야 겠죠.. ^^;


이런 피싱을 방지하기 위해서는
링크를 걸린 곳에서 절대 인터넷 뱅킹을 하지 말고
직접 은행사이트에 접속하여 해당 홈페이지를 방문해서 인터넷뱅킹을 해야 합니다.

저작자표시 비영리 변경금지

관련글

티스토리툴바