사용자 브라우저에서 악성 스크립트를 실행해 쿠키 탈취, 피싱, 화면 변조를 유발한다.
출력 인코딩, CSPWEB VULNERABILITY
XSS, CSRF, 파일 업로드는 공격 대상이 서로 다르다
실기 답안에서는 무엇을 공격하는지와 어떤 통제책으로 막는지를 짝지어 설명해야 한다.
로그인된 사용자의 인증 상태를 악용해 원치 않는 요청을 보내게 한다.
Token, SameSite웹셸 같은 악성 파일을 서버에 올려 실행, 정보 유출, 장악으로 이어질 수 있다.
검증, 저장 분리
구분 기준: XSS는 브라우저, CSRF는 인증 상태, 파일 업로드
취약점은 서버 실행 환경을 직접 노린다.