SECURITY · CH4

XSS의 종류

XSS는 악성 스크립트가 어디에 저장되고 어디서 실행되는지에 따라 Stored, Reflected, DOM-based로 나뉩니다.

XSS의 종류 구성 요소

취약점 비교
Stored XSS악성 스크립트가 서버 DB나 게시글에 저장되어 반복 실행됩니다.
Reflected XSS요청 파라미터가 응답에 반사되며 피해자 클릭으로 실행됩니다.
DOM-based XSS브라우저의 JavaScript가 DOM을 조작하는 과정에서 발생합니다.
대응출력 인코딩, CSP, 입력 검증, 위험 API 사용 제한이 필요합니다.

XSS의 종류 진행 순서

실행 위치 구분
입력스크립트 삽입
반영/저장/DOM실행 위치
피해자브라우저 실행
XSS 유형 구분

Stored는 서버 저장, Reflected는 응답 반사, DOM-based는 클라이언트 DOM 처리 위치를 봅니다.