알려진 취약점 로그인 자격 증명을 전달

파워볼 죽장 알려진 취약점 XSS 취약점은 브라우저 작성자의 구현 실수로 인해 발생할 수도 있습니다.

알려진 취약점

또 다른 사이트 간 취약점은 CSRF( 교차 사이트 요청 위조 )입니다. CSRF에서 공격자 사이트의 코드는 피해자의 브라우저를
속여 대상 사이트에서 사용자가 의도하지 않은 작업(예: 은행 송금)을 취하도록 합니다. 대상 사이트가 요청 인증을 위해 쿠키에만
의존하는 경우 공격자 사이트의 코드에서 시작된 요청은 시작 사용자와 동일한 유효한 로그인 자격 증명을 전달할 수 있습니다.
일반적으로 CSRF에 대한 솔루션은 지속적인 영향을 미칠 수 있는 모든 요청을 인증하기 위해 쿠키뿐만 아니라 숨겨진 양식 필드에
인증 값을 요구하는 것입니다. HTTP Referrer 헤더를 확인하는 것도 도움이 될 수 있습니다.

“JavaScript hijacking”은 공격자 사이트의 태그가 JSON 또는 JavaScript 같은 개인 정보를 반환하는 피해자 사이트의 페이지를 악용하는
CSRF 공격 유형입니다. 가능한 솔루션은 다음과 같습니다.

개인 정보를 반환하는 모든 응답에 대해 POST 및 GET 매개변수 에 인증 토큰을 요구합니다 .
클라이언트에 대한 잘못된 신뢰
클라이언트-서버 응용 프로그램 개발자는 신뢰할 수 없는 클라이언트가 공격자의 제어 하에 있을 수 있음을 인식해야 합니다.
코드에 포함된 모든 비밀이 결정된 적에 의해 추출될 수 있기 때문에 애플리케이션 작성자는 JavaScript 코드가 의도한 대로(또는 전혀)
실행될 것이라고 가정할 수 없습니다. 몇 가지 의미는 다음과 같습니다.

알려진 취약점

웹 사이트 작성자는 원시 소스 코드를 클라이언트로 보내야 하기 때문에 JavaScript가 어떻게 작동하는지 완벽하게 숨길 수 없습니다.
코드는 난독화될 수 있지만 난독 화는 리버스 엔지니어링될 수 있습니다.
JavaScript 양식 유효성 검사는 보안이 아닌 사용자의 편의만을 제공합니다. 사이트에서 사용자가 서비스 약관에 동의했음을 확인하거나
숫자만 포함되어야 하는 필드에서 잘못된 문자를 필터링하는 경우 클라이언트뿐만 아니라 서버에서도 수행해야 합니다.
스크립트는 선택적으로 비활성화할 수 있으므로 이미지를 마우스 오른쪽 버튼으로 클릭하여 저장하는 등의 작업을 방지하기 위해
JavaScript에 의존할 수 없습니다.
JavaScript에 암호와 같은 민감한 정보를 포함시키는 것은 공격자가 추출할 수 있기 때문에 매우 나쁜 습관으로 간주됩니다.

더 많은 기사 보기

npm 및 Bower 와 같은 패키지 관리 시스템 은 JavaScript 개발자에게 인기가 있습니다. 이러한 시스템을 통해 개발자는 다른 개발자의
프로그램 라이브러리에 대한 프로그램의 종속성을 쉽게 관리할 수 있습니다. 개발자는 라이브러리의 유지 관리자가 라이브러리를
안전하고 최신 상태로 유지할 것이라고 믿지만 항상 그런 것은 아닙니다. 이러한 블라인드 트러스트 때문에 취약점이 나타났습니다.
신뢰할 수 있는 라이브러리에는 라이브러리에 의존하는 모든 프로그램에 버그나 취약점이 나타나도록 하는 새 릴리스가 있을 수 있습니다.
반대로 라이브러리는 알려진 취약점으로 인해 패치가 적용되지 않을 수 있습니다. 133,000개의 웹사이트 샘플을 조사한 연구에서
연구원들은 웹사이트의 37%에 하나 이상의 알려진 취약점이 있는 라이브러리가 포함되어 있음을 발견했습니다.