계: Encapsulation
캡슐화는 강력한 경계를 그리는 것입니다. 웹 브라우저에서는 사용자의 모바일 코드가 다른 모바일 코드에 의해 오용되지 않도록 하는 것을 의미합니다. 서버에서는 검증된 데이터와 검증되지 않은 데이터, 한 사용자의 데이터와 다른 사용자의 데이터, 데이터 사용자가 볼 수 있는 데이터와 볼 수 없는 데이터 간의 차별화를 의미할 수 있습니다.
Cross-Frame Scripting
Abstract
iframe 내에서 응용 프로그램의 포함을 제한하지 못하면 Cross-Site Request Forgery 공격이나 피싱 공격이 발생할 수 있습니다.
Explanation
응용 프로그램의 상태가 다음과 같은 경우 cross-frame scripting 취약점이 발생합니다.
1. iframe 내에서 포함되도록 되어 있는 경우
2.
3. JavaScript 기반 프레임 버스팅 로직 같은 열악한 보호 수준을 사용하는 경우
Cross-Frame Scripting 취약점은 공격자가 Cross-Site Request Forgery 공격이나 피싱 공격을 수행하는 데 사용할 수 있는 클릭재킹(Clickjacking) 익스플로이트의 토대 역할을 하는 경우가 많습니다.
1. iframe 내에서 포함되도록 되어 있는 경우
2.
X-Frame-Options 헤더를 통해 프레이밍 정책을 지정하지 못하는 경우3. JavaScript 기반 프레임 버스팅 로직 같은 열악한 보호 수준을 사용하는 경우
Cross-Frame Scripting 취약점은 공격자가 Cross-Site Request Forgery 공격이나 피싱 공격을 수행하는 데 사용할 수 있는 클릭재킹(Clickjacking) 익스플로이트의 토대 역할을 하는 경우가 많습니다.
References
desc.dataflow.javascript.cross_frame_scripting
Abstract
iframe 내에서 응용 프로그램의 포함을 제한하지 못하면 Cross-Site Request Forgery 공격이나 피싱 공격이 발생할 수 있습니다.
Explanation
응용 프로그램의 상태가 다음과 같은 경우 cross-frame scripting 취약점이 발생합니다.
1. iframe 내에서 포함되도록 되어 있는 경우
2.
3. JavaScript 기반 프레임 버스팅 로직 같은 열악한 보호 수준을 사용하는 경우
Cross-Frame Scripting 취약점은 공격자가 Cross-Site Request Forgery 공격이나 피싱 공격을 수행하는 데 사용할 수 있는 클릭재킹(Clickjacking) 익스플로이트의 토대 역할을 하는 경우가 많습니다.
1. iframe 내에서 포함되도록 되어 있는 경우
2.
X-Frame-Options 헤더를 통해 프레이밍 정책을 지정하지 못하는 경우3. JavaScript 기반 프레임 버스팅 로직 같은 열악한 보호 수준을 사용하는 경우
Cross-Frame Scripting 취약점은 공격자가 Cross-Site Request Forgery 공격이나 피싱 공격을 수행하는 데 사용할 수 있는 클릭재킹(Clickjacking) 익스플로이트의 토대 역할을 하는 경우가 많습니다.
References
desc.structural.python.cross_frame_scripting