XSS, CSRF

*XSS(Cross Side Script) 
사이트의 검색, 게시판 페이지에 스크립트 코드를 삽입하여 접속한 사용자의 정보(쿠키, 세션 등)을 탈취하는 공격기법 이다.
공격 대상 : Client

*XSS 종류 
1.Stored 
시판 같은 곳에서 사용자 입력 폼에 악성 스크립트 태그를 포함하여 게시글을 서버에 업로드 시켜놓고 다른사용자가 페이지를 읽는 순간 브라우저를 공격하는 방식

2.Reflected 
서버가 외부에서 입력받은 값을 받은 후 브라우저에 전송하는 과정에서 사용된 변수안에 가공된 변수의 값(악성 스크립트)을 넣어 서버가 제대로된 값을 가져오지 않고 악성 스크립트가 브라우저에서 실행이 된다. 

3. DOM
서버와 관계없이 브라우저에서 발생하는건데 조작된 URL을 사용자에게 전송하면 사용자는 이 URL을 클릭하는 순간 공격을 입는다. 
※DOM이란 html 및 xml 문서를 처리하는 API로 문서의 구조적 형태를 제공하므로 자바스크립트(JavaScript)와 같은 스크립트 언어를 사용하여 문서 내용과 시각적 표현을 수정할 수 있다.

*CSRF(Cross Site Response Forgery)
XSS와 같이 스크립트를 사용하지만 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 등록, 삭제)를 특정 사이트에 요청하는 공격이다.
공격 대상 : Server