[보안 해킹] 홈페이지 개발 보안 - 크로스 사이트 스크립트
■ 취약점 설명
- 외부 입력이 동적 웹페이지 생성에 사용될 경우, 전송된 동적 웹페이지를 열람하는 접속자의 권한으로 부적절한 스크립트가 수행되는 취약점
■ 보안 대책
⑴ 사용자가 입력한 문자열에서 <, >, &, ", " 등을 replace 등의 문자 변환함수(혹은 Method)를 사용하여 <, >, &, "로 치환
⑵ 게시판 등에서 HTML 태그 허용 시 HTML 태그의 리스트(White List)를 선정한 후, 해당 태그만 허용하는 방식 적용
■ 코드예제
- 파라미터(name)에 <script>alert(document.cookie);</script>와 같은 스크립트 코드가 입력되고, 이 값이 그대로 사용되면 사용자의 쿠키정보가 공격자에게 전송될 수 있는 코딩
- 외부 입력 문자열에서 replaceAll() Method를 사용하여 <, >, &, ", " 같이 스크립트 생성에 사용되는 문자열을 <, >, &, &auot 등으로 변경하면, 파라미터 name에 악성코드가 포함되더라도 스크립트 실행 불가하도록 코딩
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
[보안 해킹] 홈페이지 개발 보안 - 파일 다운로드 (0) | 2016.10.24 |
---|---|
[보안 해킹] 홈페이지 개발 보안 - 파일 업로드 (0) | 2016.10.24 |
[보안 해킹] 홈페이지 개발 보안 방안 - XPath 인젝션 (0) | 2016.10.20 |
[보안 해킹] 홈페이지 개발 보안 방안 - XQuery 인젝션 (0) | 2016.10.20 |
[보안 해킹] 홈페이지 개발 보안 방안 - 운영체제 명령 실행 (0) | 2016.10.19 |