XSS / CSRF XSS 1) Session ID를 얻어 정상 사용자인 척하면서 API를 호출해 데이터를 빼내거나 2) 사용자 브라우저에 악성 스크립트가 실행되면서 사용자 PC를 통제하거나 3) 사용자가 악성 스크립트가 있는 URL을 클릭하도록 유도해서, 악성코드 또는 프로그램이 다운로드 되도록 한다. 대응 - 입력 데이터의 길이 제한하기 - 지정된 문자 또는 형식으로 입력되었는지 확인 - 정해진 규칙을 벗어난 입력 값들은 무효화 시키기 or - MS 개발한 AntiXSS 라이브러리 - OWASP 오픈소스 라이브러리 - 네이버 Lucy-Xss-Servlet-Filter 라이브러리 CSRF 1) 사이트 간 요청 위조로 특정 웹사이트가 사용자의 웹 브라우저를 신용해서 발생하는 공격 2) XSS 공격이 주로..
