WEB ATTACK SURFACE

XSS/CSRF/업로드 위험

세 취약점은 모두 웹에서 나오지만 공격 대상이 다릅니다. 대상과 원인을 먼저 잡으면 대응책도 자연스럽게 분리됩니다.

XSS사용자 브라우저에서 악성 스크립트를 실행합니다.

CSRF로그인된 사용자의 권한으로 원치 않는 요청을 보냅니다.

파일 업로드검증되지 않은 파일이 서버 실행 환경에 들어갑니다.

출력 인코딩XSS 대응의 기본입니다. 문맥별 인코딩을 적용합니다.

CSRF Token요청이 정상 화면에서 온 것인지 검증합니다.

저장 경로 분리업로드 파일을 웹 실행 경로 밖에 둡니다.

로그 징후script, 비정상 referer, 의심 확장자를 확인합니다.