XSS 공격 방지를 위한 회원가입폼의 스크립트 사용 차단
본문
회원가입폼을 보면
자기 소개란과 홈페이지 적는 부분이 있는데
이곳에 현재 모두 자바스크립트가 사용 가능합니다.
(그누보드 버전: 4.32.01)
<script>alert('hello');</script>
이런 스크립트를 홈페이지란이나 자기소개란에 적으면 모두 hello를 내보는군요..
XSS 공격에 노출이 될까 걱정스럽습니다.
그누보드4의 보안패치를 찾아봐도 이걸 방지하는 코드는 없는 것 같던데..
혹시 자바스크립트(html은 허용하려고 합니다)를 차단하는 방법이 없을까요?
답변 1
이름에서도 그렇네요.
DB에서 지워버려야지 그렇지 않으면 관리자창에서 계속 스크립트가 작동됩니다.
register_form_update.php에서
if (preg_match('/script/',$_POST['mb_name'])) {
alert('오류:보안에 위배되는 단어가 포함되어 있습니다.');
}
위는 단지 예시일 뿐이고 어떻게든 XSS를 막는 함수를 작성해
인크루드해서 사용해야 할 듯요 ㅎㅎ
블랙리스트 방식으로 제거하는 거군요.
도움이 되었습니다. ^^
답변을 작성하시기 전에 로그인 해주세요.