xss .innerHtml .inner Text 문제점
관련링크
본문
보안업체로 부터 취약점 보고서를 받았는데 다음과 같습니다. 어디서 어떤 파일을 고쳐야 하는지 제가 하수라 잘 모르겠습니다. 도움 부탁드립니다.
>상세설명
자바 스크립트 클라이언트 쪽 사용 시 .innerText 사용은 자동으로 text를 인코딩할 때 발생하는 XSS 문제점을방지한다.
* 참고 사이트:
https://www.owasp.org/index.php/AJAX_Security_Cheat_Sheet#Use_.innerText_instead_of_.innerHtm
> 조치방법
자바 스크립트 클라이언트 쪽 사용 시, .innerHtml 대신에 .innerText를 사용하여야 한다.
> 호스트
210.112.128.134
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&device=mobile]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&device=pc]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_datetime&sod=asc&sop=and&page=1]
80 포트 :
[/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_datetime&sod=desc&sop=and&page=1&device=mobile]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_datetime&sod=desc&sop=and&page=1]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_hit&sod=asc&sop=and&page=1]
80 포트 :
[/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_hit&sod=desc&sop=and&page=1&device=mobile]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5&sst=wr_hit&sod=desc&sop=and&page=1]
80 포트 : [/bbs/board.php?bo_table=notice&wr_id=5]
.
.
.
.
입니다.
답변 3
view.skin.php 부분에 innerHtml을 사용하는 구문이 있는 듯 하네요. 해당 부분을 innerText로 바꿔주시면 됩니다
view.skin.php 다 찾아 보았는데 innerHtml 쓴데가 없어요 여튼 감사합니다
해결했습니다
innerHtml인줄 알았더니 innerHTML이더군요 innerText는 뒤에 소문자인데
view_comment.skin.php에서 찾아서 바꿨습니다.
basic 스킨에도 있더군요
감사합니다.
/var/www/html/skin/board/basic/view_comment.skin.php
/var/www/html/skin/board/gallery/view_comment.skin.php
/var/www/html/mobile/skin/board/basic/view_comment.skin.php
/var/www/html/mobile/skin/board/gallery/view_comment.skin.php
/var/www/html/theme/basic/skin/board/basic/view_comment.skin.php
/var/www/html/theme/basic/skin/board/gallery/view_comment.skin.php
/var/www/html/theme/basic/mobile/skin/board/basic/view_comment.skin.php
/var/www/html/theme/basic/mobile/skin/board/gallery/view_comment.skin.php
/var/www/html/theme/company/mobile/skin/board/basic/view_comment.skin.php
/var/www/html/theme/company/mobile/skin/board/gallery/view_comment.skin.php
