XSS 대해 정보
XSS 대해본문
일반 get이나 post에 스크랩트 실어서 공격 방법에 대한 위험성은 알지만.
이거 해더에도 스크랩트 실어서 공격이 가능한가요?
코드이그나이터나 그누보드에 보면 $_SERVER을 XSS 방지 코드가 있어서 애기하는 겁니다.
추천
0
0
댓글 1개
*예를 들어 웹로그를 저장하는 페이지라고 했을 때
$_SERVER['HTTP_USER_AGENT'] 값을 저장할 텐데, 적당한 값으로 sql injection 이나 xss 를 할 수 있습니다.
*CI같이 rewrite 하는 코드에서 에러페이지 : url 경로 뿌릴때
$_SERVER['REQUEST_URI'] 값으로 xss 를 넣으면 실행될 수도 있습니다.
그리고 웹컨테이너에 따라서 환경변수가 달라서 xss 시도하는 방법은 여러가지가 있습니다.
간단하게 apache와 IIS에서 print_r($_SERVER); 해보시면 종류가 다른걸 알 수 있습니다. 프로그래머가 어떤 서버변수를 어떻게 사용할 지는 알 수 없으므로 미리 처리해 두는게 좋습니다.
$_SERVER['HTTP_USER_AGENT'] 값을 저장할 텐데, 적당한 값으로 sql injection 이나 xss 를 할 수 있습니다.
*CI같이 rewrite 하는 코드에서 에러페이지 : url 경로 뿌릴때
$_SERVER['REQUEST_URI'] 값으로 xss 를 넣으면 실행될 수도 있습니다.
그리고 웹컨테이너에 따라서 환경변수가 달라서 xss 시도하는 방법은 여러가지가 있습니다.
간단하게 apache와 IIS에서 print_r($_SERVER); 해보시면 종류가 다른걸 알 수 있습니다. 프로그래머가 어떤 서버변수를 어떻게 사용할 지는 알 수 없으므로 미리 처리해 두는게 좋습니다.