▼課題解決に役立つ資料ダウンロードはこちら▼
→ 생성 AI의 보안 위험 및 회사가 취해야 할 조치 → 중소 기업 IT 직원을 위해 오늘부터 랜섬웨어를 방지하기위한 실용 가이드 → あなたの会社は大丈夫?情報漏洩対策チェックリスト웹 사이트脆弱性を狙ったサイバー攻撃16393_16903マルウェア感染など、現在でも多くの被害が報告されています。 今回は、クロスサイトスクリプティングの仕組みや種類、被害事例、対策方法について詳しく説明します。
目次
(1) 크로스 사이트 스크립팅 (XSS)이란 무엇입니까?
크로스 사이트 스크립팅 (XSS)은 웹 사이트입니다脆弱性を突いて罠を仕掛け、ユーザーの個人情報の窃取などを行うサイバー攻撃트랩을 다른 사이트로 설정하고 공격하는 사이트에서 (크로스)로 이어지고 "크로스"라고 불리우며 "크로스"라고 불리며 "크로스"라고합니다
이 방법은 오랫동안 사용되어 왔지만 오늘날 많은 피해 가보고되었습니다 "소프트웨어 등脆弱性2025 년 2 분기 (4 월에서 6 월)에 따른 관련 정보 알림 상태, 웹 사이트의脆弱性の種類別届出件数は、クロスサイトスクリプティングが最も多く、累計では全体の57%を占めているという結果が出ています。
참조 : IPA (독립 행정 기관 정보 기술 프로모션 기관) "소프트웨어의 취약성과 관련된 정보에 관한 알림 상태 [2 분기 2025 (4 월 ~ 6 월)]XSS (Cross-Site Scripting)가 작동하는 방법
크로스 사이트 스크립팅은 공격자가 웹 사이트에 대해 악의적임을 의미합니다スクリプト(※ 1)로 트랩을 설정하십시오 예를 들어, 종종 개인 정보 입력 화면, 게시판, 설문 조사 사이트 등에 설정되며 사용자 가이 웹 사이트를보고 링크를 클릭하면 대상 웹 사이트로 연결됩니다
ユーザーのブラウザ上でスクリプト실행되고 개인 정보를 훔치고 쿠키 정보를 저장하고 소셜 미디어 계정을 인계합니다マルウェア감염을 포함한 다양한 손상이 발생합니다 크로스 사이트 스크립팅 공격이 발생하기 쉬운 페이지의 기능은 다음과 같은 기능이 있다는 것입니다
- 入力内容を確認する表示画面(会員登録、アンケートなど)
- 誤入力時に再入力を求める画面で、前の入力内容を表示する機能
- 検索結果の表示機能
- エラーメッセージの表示機能
- コメントの反映機能(ブログ、掲示板など)
※1スクリプト: 원고, 스크립트, 스크립트 등을 의미하는 영어 단어 IT 필드에서 간단한 프로그램을 나타냅니다
(2) 크로스 사이트 스크립팅 유형 (XSS)
クロスサイトスクリプティングの攻撃の種類は、主に以下の3種類があります。
반사 XSS
基本的なクロスサイトスクリプティングの手法で、リクエストに含まれるスクリプトがユーザーにそのまま戻されます。攻撃者は不正なスクリプトを含んだリンクを偽サイトなどに用意し、脆弱性のあるサイトに誘導。ユーザーのブラウザで不正なスクリプト실행되고 다양한 정보 도용이 수행됩니다 반사 XSS는 사용자가 공격자가 특별히 생성 한 링크를 클릭 할 때 발생합니다 그러므로,フィッシングメール소셜 미디어에 퍼짐
저장된 XSS/영구 XSS
웹 사이트에서 사전 주문スクリプトを格納しておくという手法です。ユーザーが該当するサイトやページにアクセスするごとに不正なスクリプト로 해를 입을 수 있습니다 실행됩니다 개폐식 XSS는 종종 게시판, 의견 섹션 및 블로그와 같은 사용자 제출 기능이있는 웹 사이트에서 발견됩니다 공격자는 악의적입니다スクリプトを投稿し、それが適切にサニタイズ(※2)されないままデータベースに保存されることで、後からそのページを閲覧したユーザーが被害を受ける可能性があります。
*2DOM 기반 XSS
웹 사이트에서脆弱性, DOM (문서 개체)을 공격하는 것과는 달리スクリプトの脆弱性を悪用します。サーバ側ではなくクライアントのブラウザ上で攻撃用のスクリプト실행됩니다 이는 클라이언트 측 정보가 URL 조각 ( # 섹션) 및 LocationSearch와 같이 부적절하게 처리 될 때 발생합니다
(3) 크로스 사이트 스크립팅으로 인한 손상의 예 (XSS)
クロスサイトスクリプティングによる被害として、主に以下の4つがあります。
- 正規サイト上に偽情報を表示
- 個人情報の漏洩
- 도난 쿠키 정보
- マルウェア感染
크로스 사이트 스크립팅에는 합법적 인 웹 사이트에 가짜 정보가 표시되며 입력 양식 등에 입력 된 개인 정보가 유출됩니다 쿠키 정보에는 탐색 내역, ID 및 비밀번호가 포함되어 있으며, 신용 카드의 사기 사용 및 온라인 뱅킹에서 사기성 인출과 같은 손상으로 이어질 수 있습니다
また、リンクをクリックすることで不正なプログラムがダウンロードされ、マルウェアに感染することもあるため注意が必要です。
크로스 사이트 스크립팅에 대한 두 가지 사례 연구 (XSS)
企業において、実際にクロスサイトスクリプティングに関する事例を紹介します。
사례 1/주요 IT 공급 업체가 제공하는 서비스에 대한 공격
주요 국내 IT 공급 업체가 제공하는 SaaS 형 전자 상거래 사이트 건설 서비스의 핵심 서버는 이제 크로스 사이트 스크립팅을 통해 제공됩니다サイバー攻撃수령 이 서비스를 사용하는 10 개 이상의 전자 상거래 사이트에서 430,000 개가 넘는 고객 정보가 유출되어 신용 카드 사기 사용과 같은 손상이 발생했습니다 서비스를 제공 한 회사는 모든 서버의 재발을 방지하기위한 조치를 취했습니다
事例②/世界的な衣料品大手企業のアプリに脆弱性が発覚
誰もが知る世界的な衣料品の製造小売の大手企業が提供するアプリに、クロスサイトスクリプティングの脆弱性があること判明し、脆弱性정보 준비 데이터베이스 (JVN)脆弱性は修正されましたが、被害を受けるリスクが表面化しました。
(4) 5 크로스 사이트 스크립팅에 대한 대책 (XSS)
クロスサイトスクリプティングにおける効果的な対策として、以下の5つをご紹介します。
スクリプトの無害化を行う(サニタイジング)
46575_47665スクリプトの意図しない動きを防ぎます。エスケープ処理とも呼ばれます。
*3 HTML 엔티티 :入力値を制限する
不正なスクリプトの埋め込みを防ぐため、入力値に制限を設けます。例えば、パスワード入力欄は半角英数8文字まで、電話番号や郵便番号の入力欄は数字のみに制限し、不正なスクリプトを入力できないようにします。入力値の制限は、ホワイトリスト方式で実装することが重要です。許可する文字の種類や文字数をあらかじめ明確に定義し、それ以外の入力は受け付けないようにすることで、クロスサイトスクリプティング攻撃のリスクを大幅に軽減できます。
특정 URL 허용
不正なスクリプト가되도록 URL의 출력을 제한합니다 실행할 수 없습니다 "http"및 "https"및 기타로 시작하는 출력 만 허용하도록 설정하십시오スクリプト거부 "JavaScript 구성표"등이 포함 된 URL은 유효하지 않습니다スクリプト실행됩니다 URL 유효성 검사는 정규식을 사용하여 "http : //"또는 "https : //"로 시작하는 URL 만 허용하고 "javaScript :", "data :"및 "vbscript :"과 같은 체계를 포함하는 URL을 거부합니다
動作環境を最新に保つ
セキュリティ対策の基本である、動作環境を常に最新の状態に保つことは、クロスサイトスクリプティングの対策としても有効です。ブラウザやサーバ、ソフトウェアなどを定期的にアップデートし、脆弱性를 해결합시다 특히 보안 패치는 웹 애플리케이션 프레임 워크 및 라이브러리를 위해 정기적으로 출시되므로 최신 버전으로 계속 업데이트하는 것이 중요합니다
WAF 설치
보안 도구 도입도 쉽고 효과적인 방법입니다 WAF (웹 응용 프로그램)
웹 애플리케이션에 대한 크로스 사이트 스크립팅 (XSS)의 영향
크로스 사이트 스크립팅은 웹 응용 프로그램의 기능과 신뢰성에 심각한 영향을 줄 수 있습니다 사용자의 개인情報漏洩회사에 대한 신뢰 상실, 법적 책임의 발생 및 경제적 손실을 포함하여 광범위한 위험을 초래할 수 있습니다 개인 정보 보호법 및 GDPR 강화와 같은 규정을 통해 기업은 적절한 보안 조치를 취해야합니다
UTM 크로스 사이트 스크립팅과 호환
WAF 외에도 크로스 사이트 스크립팅을위한 효과적인 도구이기도합니다UTMがあります。UTM(통합サイバー攻撃の対策も可能です。
日々複雑化・巧妙化するサイバー攻撃は多種多様で、これらに個別に対応するにはコストや手間がかかってしまいます。しかしUTMであればさまざまなセキュリティ機能によって一元管理ができるため、コストを抑えるだけでなく専任の部署や担当者を置く必要がありません。トラブルが発生した際も、1つのベンダーに連絡するだけでいいので安心です。
サクサの最新モデルのUTM포괄적 인 보안 기능 외에도 "SS7000 III"는 모니터링, 유지 보수 및 지원을 포함한 포괄적 인 사후 관리 사후 관리를 제공합니다サイバー攻撃対策など、自社のセキュリティ強化を考えている場合は、UTMの導入もぜひご検討ください。
(5) 자주 묻는 질문
Q1 크로스 사이트 스크립팅 (XSS)과 SQL 주입의 차이점은 무엇입니까?
a脆弱性を悪用する攻撃手法ですが、攻撃の対象や目的が異なります。
クロスサイトスクリプティングは、ユーザーのブラウザ上で不正なスクリプト를 일으키는 공격입니다 개인 정보를 훔치거나 오용합니다 반면에 SQL 주입은 데이터베이스를 직접 조작하고 웹 사이트에 대한 정보를 조작하고, 도둑질, 지우기 및 오용 데이터를 오용하기위한 것입니다
主な違い
-
攻撃対象:
크로스 사이트 스크립팅은 클라이언트 측 (브라우저), SQL 주입은 서버 측 (데이터베이스)
-
攻撃手法:
크로스 사이트 스크립팅은 JavaScript를 기반으로하며 SQL 주입은 SQL 문을 기반으로합니다
-
影響範囲:
크로스 사이트 스크립팅은 개별 사용자를위한 것입니다 SQL 주입은 전체 데이터베이스를위한 것입니다
Q2
a脆弱性を悪用する攻撃手法ですが、攻撃の仕組みや目的が異なります。
웹 사이트에서 크로스 사이트 스크립팅이 악의적입니다スクリプト를 유발하는 공격입니다 사용자 정보를 훔치고 페이지의 내용을 조작합니다 한편, 크로스 사이트 요청 위조 위조는 사용자가 의도하지 않은 요청을 웹 사이트에 로그인 한 웹 사이트에 보내도록하는 공격입니다
主な違い
-
攻撃の方向性:
クロスサイトスクリプティングは双方向(スクリプトを介した動的な影響)、クロスサイトリクエストフォージェリは一方向(リクエストの送信のみ)
-
技術的基盤:
크로스 사이트 스크립팅은 JavaScript를 기반으로하며, 크로스 사이트 요청 위조는 HTTP 요청을 기반으로합니다
-
セッション依存:
クロスサイトスクリプティングはセッションに依存しないが、クロスサイトリクエストフォージェリは有効なセッションが必要
-
攻撃目的:
クロスサイトスクリプティングは情報窃取や改ざん、クロスサイトリクエストフォージェリはユーザーに成り変わった不正操作の実行
(6) 요약
이번에는 우리는 크로스 사이트 스크립팅의 작동 방식과 처리 방법을 설명했습니다 웹 사이트를 사용하면 웹 사이트를 실현하지 않고 희생 될 가능성이 높습니다 도입 된 대책 외에도 매일 의심스러운 링크를 쉽게 클릭하지 않는 것이 중요합니다
비즈니스의 핵심은 크로스 사이트 스크립팅을 포함한 포괄적 인 보안 조치를 구현하는 것입니다 소독, 입력 값 제한 및 WAF 소개와 같은 여러 측정 값을 결합하면 더 강력한 보안 자세를 만들 수 있습니다
また、セキュリティ対策は一度実施すれば終わりではなく、継続的な監視と更新が欠かせません。新たな攻撃手法が次々と登場する中、最新の脅威情報を収集し、それに応じて対策を見直し続けることが重要です。
Sakusa에는이 기사에 소개 된 "SS7000 III"가 포함되어 있으며UTMの基礎知識を解説する特設ページをオープンしています。UTMの機能や脅威となるサイバー攻撃について、動画で詳しくご紹介していますので、セキュリティ対策の参考にぜひご覧ください。
UTMの基本機能から導入メリット・選定ポイントなどを、詳しく解説したお役立ち資料もご提供していますので、ぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。ぜひ一度お読みください。
お役立ち資料一覧はこちら ↽
![[2025 Edition] 작업 환경은 무엇입니까? <br/> 현재 상황, 일반적인 문제, 개선 측정에 대한 완전한 요약](/saxa-dx_navi/wp-content/uploads/2025/01/241201_01-1024x561.jpg)
