반사XSS, CSRF 공격 관련

(1) 반사XSS와 CSRF 공격 관점의 차이

- 반사XSS: 사용자의 관점 / A라는 사이트를 접속한다고 생각하지만, 실제로는 B라는 사이트에 접속한 것

- CSRF: 사이트의 관점 / A사용자가 접속했다고 생각하지만, 실제로는 사용자B(공격자)가 접속한것.

(2)XSS, CSRF 공격에 대한 대처 : 기본적으로 입력값 검증을 실시한다.

- Client Side : 클라이언트에 대해선 공격자가 공격하기 용이한 측면이 있다. 무슨 소리냐면, 웹 브라우저에서 JavaScript 등에 대한 입력값 검증을 실시할 순 있으나, 이때의 관점은 공격을 막아내기 위한 것이라기보다는 오타 등을 검증하기 위한 수단이다.

- Server Side : 서버측에서 XSS 혹은 CSRF 공격을 막기 위해 입력값에 대해 검증하는 것이 기본이다.

 1. 입력값 검증
 2. 입력값이 쿼리로서 입력되지 않게 한다.
 3. 웹서버 -> DB계정 : DB계정에 대한 접근 권한을 권한 제어를 통해서 제어한다.
     r/w/rw 권한 등을 바꾸거나 혹은 특정 viewtable에만 접근가능하도록 수정한다.
 4. SQL Injection 패턴에 대해서는 : WAF을 통해 차단.
 5. 웹방화벽이 있다고 하더라도, 기본적으로 시큐어 코딩이 필요하다. 구간/문자/필터링/길이/주민등록번호 검증 등이 가능하다. (버퍼 오버플로우 공격에 대한 방어와 비슷)