xss .innerHtml .inner Text 문제점

xss .innerHtml .inner Text 문제점

QA

xss .innerHtml .inner Text 문제점

본문

보안업체로 부터 취약점 보고서를 받았는데 다음과 같습니다. 어디서 어떤 파일을 고쳐야 하는지 제가 하수라 잘 모르겠습니다. 도움 부탁드립니다.

 

>상세설명

자바 스크립트 클라이언트 쪽 사용 시 .innerText 사용은 자동으로 text를 인코딩할 때 발생하는 XSS 문제점을방지한다.


* 참고 사이트:
https://www.owasp.org/index.php/AJAX_Security_Cheat_Sheet#Use_.innerText_instead_of_.innerHtm

 

> 조치방법

자바 스크립트 클라이언트 쪽 사용 시, .innerHtml 대신에 .innerText를 사용하여야 한다.

 

> 호스트

210.112.128.134

80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&device=mobile]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&device=pc]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_datetime&sod=asc&sop=and&page=1]
80 포트 :
[/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_datetime&sod=desc&sop=and&page=1&device=mobile]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_datetime&sod=desc&sop=and&page=1]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_hit&sod=asc&sop=and&page=1]
80 포트 :
[/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_hit&sod=desc&sop=and&page=1&device=mobile]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_hit&sod=desc&sop=and&page=1]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5]

.

.

.

.

입니다.

 

이 질문에 댓글 쓰기 :

답변 3

해결했습니다

innerHtml인줄 알았더니  innerHTML이더군요 innerText는 뒤에 소문자인데  

view_comment.skin.php에서 찾아서 바꿨습니다.

 

basic 스킨에도 있더군요

감사합니다.

 

/var/www/html/skin/board/basic/view_comment.skin.php

/var/www/html/skin/board/gallery/view_comment.skin.php

/var/www/html/mobile/skin/board/basic/view_comment.skin.php

/var/www/html/mobile/skin/board/gallery/view_comment.skin.php

/var/www/html/theme/basic/skin/board/basic/view_comment.skin.php

/var/www/html/theme/basic/skin/board/gallery/view_comment.skin.php

/var/www/html/theme/basic/mobile/skin/board/basic/view_comment.skin.php

/var/www/html/theme/basic/mobile/skin/board/gallery/view_comment.skin.php

/var/www/html/theme/company/mobile/skin/board/basic/view_comment.skin.php

/var/www/html/theme/company/mobile/skin/board/gallery/view_comment.skin.php

답변을 작성하시기 전에 로그인 해주세요.
전체 947
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT