XSS vs CSRF

DATE : 2024/1/18

HOW에서 설명했듯이 우리는 XSS와 CSRF를 명확하게 구분할 필요가 있다.

다시 한 번 말하지만,

XSS는 Client 측에서 실행할 스크립트를 삽입하는 공격이고

CSRF는 Client가 의도하지 않은 요청을 서버로 보내도록 만드는 공격이다.

CSRF는 스크립트의 여부와 상관 없이 사용자가 어떤 요청을 서버로 보내도록 만드는 공격이지만

XSS 취약점이 존재한다고 했을 때, POST method를 통한 CSRF 공격이 가능함과 동시에

활용 범위가 넓어지기 때문에 CSRF와 XSS를 같이 수행하는 경우가 있다.

하지만, XSS 공격이 불가능한 상황이라고 해서 CSRF 공격 또한 불가능한 건 아니다.

XSS를 통해 CSRF 공격을 수행하지 못할 뿐, CSRF는 수행할 수 있음을 헷갈려서는 안 된다!! 💡

계속해서 "XSS를 통한 CSRF 공격을 수행" 한다는 말을 하는데

이게 도대체 뭘 얘기하는 건지는 CTF 문제를 통해 자세히 알아보도록 하자.