'사용금지 태그' 기능의 허점 정보
'사용금지 태그' 기능의 허점본문
'사용금지 태그' 기능에서 <script>태그를 차단하여도 javascript를 실행할 수 있는 허점을 발견하였습니다.
소스를 보니 <script>를 <script-x> 태그로 변환하여 스크립트의 실행을 방지하도록 되어있으나
<img src="javascript:window.onload=window.open('aa.htm');">
와 같은 자바스크립트의 차단은 불가능합니다.
<a href="javascript:window.onload=window.open('aa.htm');">aaa</a>
이런 태그도 먹히더군요.
이런 허점을 보안한 패치를 해주시기 바랍니다.
소스를 보니 <script>를 <script-x> 태그로 변환하여 스크립트의 실행을 방지하도록 되어있으나
<img src="javascript:window.onload=window.open('aa.htm');">
와 같은 자바스크립트의 차단은 불가능합니다.
<a href="javascript:window.onload=window.open('aa.htm');">aaa</a>
이런 태그도 먹히더군요.
이런 허점을 보안한 패치를 해주시기 바랍니다.
댓글 전체
못 보셨을 수도 있으니 쪽지로 건의를!..
: 사용금지태그에 대소문자 구분하지 않도록 수정
달빛온도님께서 알려주셨습니다.
해결되었군요 ^^;
달빛온도님께서 알려주셨습니다.
해결되었군요 ^^;
그건 패치전에 제가 건의 대소문자 건이고요.
이글에 적힌 내용은 관리자님께서 스킨으로 해결하시라고 하네요 ㅠㅠ
이글에 적힌 내용은 관리자님께서 스킨으로 해결하시라고 하네요 ㅠㅠ