본문 바로가기

Security/Hacking & Security

[보안 해킹] 홈페이지 개발 보안 - 크로스 사이트 스크립트

[보안 해킹] 홈페이지 개발 보안 - 크로스 사이트 스크립트



■ 취약점 설명

    - 외부 입력이 동적 웹페이지 생성에 사용될 경우, 전송된 동적 웹페이지를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되는 취약점


■ 보안 대책

    ⑴ 사용자가 입력한 문자열에서 <, >, &, ", " 등을 replace 등의 문자 변환함수(혹은 Method)를 사용하여 &lt, &gt, &amp, &quot로 치환

    ⑵ 게시판 등에서 HTML 태그 허용 시 HTML 태그의 리스트(White List)를 선정한 후, 해당 태그만 허용하는 방식 적용


■ 코드예제

    - 파라미터(name)에 <script>alert(document.cookie);</script>와 같은 스크립트 코드가 입력되고, 이 값이 그대로 사용되면 사용자의 쿠키정보가 공격자에게 전송될 수 있는 코딩


    - 외부 입력 문자열에서 replaceAll() Method를 사용하여 <, >, &, ", " 같이 스크립트 생성에 사용되는 문자열을 &lt, &gt, &amp, &auot 등으로 변경하면, 파라미터 name에 악성코드가 포함되더라도 스크립트 실행 불가하도록 코딩






※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853


문의 사항 남기기