:: intro 1. 웹 서버는 사용자를 식별하기 위해 보편적으로 쿠키와 세션을 사용한다. 공격 포인트: 사용자의 쿠키나 세션에 저장된 세션 아이디를 탈취해 사용자 권한을 얻거나 사용자의 브라우저에서 자바스크립트를 실행하는 등의 공격 행위를 한다. (사용자가 보낸 것처럼) 취약점 발생 이유: 웹 브라우저는 Stateful한 상태를 유지하기 위해 모든 HTTP 요청에 쿠키를 함께 보낸다. ::SOP 1. 웹 브라우저를 통해 대상 호스트에 요청 시 사용자의 정보(쿠키, 세션아이디 등)를 포함하고 있다. 공격 포인트: 외부 리소스를 불러오는 엘리먼트를 자바스크립트로 관리할 수 있다면 사용자의 동의 없이 해당 내용을 읽거나 변조할 수 있다. (iframe, img, video) 2. 웹 브라우저가 위와 같은 공..