WebSecurity2 [Vulnerability] CWE-79: 크로스사이트 스크립팅(XSS) — 웹 페이지 입력값 검증 실패로 인한 스크립트 삽입 공격 CWE-79: Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)은 신뢰할 수 없는 사용자 입력을 적절히 검증하거나 인코딩하지 않고 웹 페이지에 그대로 출력하여, 브라우저가 악성 스크립트를 실행하도록 만드는 취약점입니다. XSS는 세션 탈취, 계정 가로채기, CSRF 결합 공격, 임의 코드 실행 등 심각한 보안 위협으로 이어질 수 있으며, OWASP Top 10에서 지속적으로 상위권을 차지하고 있습니다.목차XSS가 발생하는 근본 원인XSS 3대 유형과 공격 흐름실제 영향과 공격 시나리오실전 방어 전략 (우선순위 포함)프레임워크/언어별 안전 패턴취약/안전 코드 스니펫 모음테스트용 페이로드 샘플보안 체크리스트Go.. 2025. 11. 10. [Web Security] Same-Origin Policy(SOP) 기초와 실무 가이드: CORS·COOP/COEP까지 현대 웹 애플리케이션에서 Same-Origin Policy (SOP)는 한 출처에서 로드된 문서나 스크립트가 다른 출처의 리소스와 상호작용하는 방식을 제한하는 핵심 보안 메커니즘입니다. 동일 출처(Origin)는 scheme(프로토콜) + host(호스트) + port(포트)가 모두 일치할 때만 성립합니다.목차Origin의 정의와 비교 예시Special OriginsSOP가 허용/차단하는 것임베딩 가능한 리소스와 제약CORS: 교차 출처 읽기를 안전하게 허용하는 메커니즘Cross-window communication: postMessage 보안공격·우회 시나리오와 방어 전략현대 브라우저 보완 정책 (SOP 보강)로컬 개발 시 주의 (file://)실무 체크리스트Origin의 정의와 비교 예시동일 출처는 .. 2025. 8. 21. 이전 1 다음
