CSRF와 XSS

예전에 발표 자료로 만들었던 것 복습 겸 작성

 

CSRF   

CSRF의 정의

Cross-Site Request Forgery, 크로스 사이트 요청 위조

• 다른 사이트 간에 요청을 위조하는 방법
• 사용자가 인증된 상태로 브라우저에 세션 정보가 남아 있을 때, 사용자의 의지와 무관하게 공격자가 의도한 악의적인 요청을 서버에 전송하게 하여 사용자의 권한을 이용하는 공격 방법

 

CSRF의 공격 원리

• CSRF 공격에 대한 취약점은 사용자가 로그인하여 남아있는 쿠키 기반 세션 정보를 이용하여 쿠키 기반 인증을 무력화하는 것이다

-- CSRF의 유도 매체

• 이메일, 메시지, 이미지 링크 등 사용자가 특정 링크나 버튼을 클릭하게 유도함

 

CSRF 방어 방법

사용자의 요청/출처를 검증하여 악성 요청 방지 및 무효화

1. 1. CSRF 토큰
2. 2. SameSite 쿠키 속성 설정
3. 3. Referrer Policy 설정
4. 4. REST API와 JWT

 

1. CSRF 토큰

• 서버에서 고유한 토큰을 생성하여 클라이언트에 전달하는 토큰
• 서버에 들어온 요청이 진짜 서버에서 요청된 것이 맞는지 확인하는 용도
• 클라이언트에서 POST 요청에 hidden 값에 토큰을 넣어 보내면 서버에서 확인
  • 보통은 Spring Security 설정을 통해 확인

다만, 이 토큰은 post 요청에만 사용 가능

 

2. SameSite 쿠키 속성 설정

• 동일 출처 요청만 허용하는 설정을 통해 크로스 사이트 요청을 방지
• 서버측에서 set-cookie 헤더를 통해 설정 가능
• 설정 옵션

• Lax에서 말하는 일부 상황은 주로 get 요청
• None으로 모든 상황얼 허용할 땐 Secure 속성을 함께 사용해서 https를 통해서만 전송되도록 하여 사용

 

3. Referrer Policy

• Referrer : 웹 페이지로 이동한 원래 출처를 나타내는 헤더

 

4. REST API와 JWT

• 취약점은 쿠키 기반 세션 상태를 유지하지 않도록 Stateless한 REST API 사용
• JWT를 통해 사용자 인증 및 인가를 진행하여 세션에 의존하지 않는 보안 구조 형성

 

 

XSS    

XSS의 정의

Cross-Site Request Scripting, 크로스 사이트 스크립팅

• 공격자가 웹 페이지에 악의적인 스크립트를 삽입하여 사용자가 요청하게끔 유도 → 사용자의 브라우저에서 악성 스크립트가 실행되게 하는 공격
  (정상적인 웹페이지 사이에 악성 스크립트 끼워두고 걸리게끔 유도)
• 키보드 입력값 탈취, 쿠키/세션 값 탈취, 악성 사이트로 접근 유도 등

 

xss 공격 유형

1. Stored XSS (저장형 크로스 사이트 스크립트)
2. Reflected XSS (반사형 크로스 사이트 스크립트)
3. DOM-based XSS (DOM 기반 크로스 사이트 스크립트)

 

1. Stored XSS (저장형 크로스 사이트 스크립트)

• 공격자가 악성 스크립트를 서버에 저장 → 서비스 페이지에서 사용자에게 스크립트 노출
• 공격자의 악성 스크립트가 서버에 저장되어 불특정 다수를 대상으로 공격에 이용될 수 있어 범위가 가장 큼

 

2. Reflected XSS (반사형 크로스 사이트 스크립트)

• 공격자가 악성 스크립트가 포함된 URL을 사용자에게 노출시켜 사용자가 해당 URL을 클릭했을 때 악성 스크립트가 실행됨
• 저장형과 다른점은 서버에 스크립트가 저장되지 않고, 사용자의 브라우저에서 바로 실행됨
• 주로 쿼리스트링에 악성 스크립트를 담은 URL에 담아 보내기도 함.

 

3. DOM-based XSS (DOM 기반 크로스 사이트 스크립트)

• 저장형, 반사형과 달리 서버에 요청없이 발생
• DOM 영역에서 악성 스크립트가 실행되어 서버와 상호작용없이 사용자의 브라우저 자체에서 실행되어 취약점을 발견하기 어려움

 

XSS 방어 방법

방어 원리 : 스크립트 삽입 및 실행 방지 또는 무효화

1. 입력값 검증 및 필터링
2. 화이트 리스트 방식 필터링
3. 출력 값 인코딩
4. CSP

 

1. 입력값 검증 및 필터링

입력값 검증

• 사용자의 입력값이 형식이나 규칙에 맞는지 확인
• XSS 방지를 위한 직접적인 조치가 아니므로 입력값 필터링이나 화이트리스트 방식과 함께 사용

 

입력값 필터링

• 악성 스크립트가 삽입되어도 동작하지 않도록 스크립트에 사용되는 주요 특수 문자를 HTML Entity로 치환하여 입력

 

2. 화이트 리스트 방식 필터링

• 허용된 값이나 패턴만을 허용하고, 나머지는 차단
• 예) HTML 필드에서 허용할 태그나 속성을 지정하여 <b>, <i>와 같은 안전한 태그만 허용

 

3. 출력 값 인코딩

• 사용자가 입력한 값을 출력할 때, HTML이나 JavaScript 코드로 실행되지 않도록 인코딩을 적용하여 스크립트 실행 차단

따라서, 악성 스크립트가 혹여나 삽입되었더라도 이를 출력할 때 실행되지 않음

 

4. CSP

• Content Security Policy, 컨텐츠 보안 정책
• 허용된 리소스 외에는 실행되지 않도록 설정

설정 방법

1.  http 응답 헤더에 Content-Security-Policy 설정

2. <meta> 태그에 http-equiv 속성 설정

• 리소스를 현재 도메인에서만 로드 가능하게 하거나 특정 도메인에서만 허용하도록 설정

• default-src 'self' : 기본 리소스를 현재 도메인에서만 로드
• 'unsafe-inline' : 같은 출처에서 온 스크립트 허용

 

 

 

CSRF와 XSS 정리