XSS(Cross-Site-Script):
- 공격대상: Client
- 공격자는 대상 사용자의 브라우저 내에서 임의의 JavaScript를 실행
CSRF(Cross-Site-Request-Forgery)
- 공격대상: Client(Client의 권한으로 Server에 요청)
- 공격자는 피해자가 의도하지 않은 작업을 수행하도록 유도
XSS를 이용한 공격이 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,
CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것
XSS는 일반적으로 임의의 스크립트 코드를 실행할 수있는 반면
CSRF는 특정 작업 (예 : 비밀번호 변경)으로 제한되므로 CSRF보다 강력
성공적인 XSS 공격은 모든 안티 CSRF을 효과적으로 우회
참고 사이트:https://glasgowkiss.tistory.com/16
XSS와 CSRF에 대하여
# 사이트 간 스크립팅(XSS; Cross-Site Scripting) : 웹 애플리케이션에서 많이 나타나는 취약점의 하나로, 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점이다. - 이 취약점은..
glasgowkiss.tistory.com
https://portswigger.net/web-security/csrf/xss-vs-csrf
XSS vs CSRF | Web Security Academy
In this section, we'll explain the differences between XSS and CSRF, and discuss whether CSRF tokens can help to prevent XSS attacks. What is the difference ...
portswigger.net
'공격기법 > Web' 카테고리의 다른 글
| Command Injection (0) | 2020.05.15 |
|---|---|
| SSRF(Server Side Request Forgery)공격 (0) | 2020.03.10 |
| 브루트 포스 공격 (0) | 2020.01.28 |
| CSRF(Cross Site Request Forgery) (0) | 2019.11.15 |
| XSS(Cross Site Scripting)과 Cheat Sheet (0) | 2019.10.25 |
