XSS 취약점 관련 문제
본문
안녕하세요
대학교 연구실 홈페이지 제작을 위해 카페24에서 자동으로 그누보드5(5.4.2.3) 설치 후 사용중입니다. 학교에서 요구하는 웹취약점 검사에서 xss 취약점이 지적되어 최신버전5.4.2.6까지 순차로 보안패치를 했습지만 오히려 xss 문제가 6건으로 늘어났습니다. 최신버전(5.4.2.7)을 아예 처음부터 설치해보아도 마찬가지였습니다. 그런데도 여단히 xss 문제가 해결이 안되네요. 여전히 6건 입니다. 혹시 아래와 같은 문제를 해결하는 방법에 관련해 도움을 주실 수 있으신가요?
아래는 문제 상세 내역입니다.
1. 문제: XSS(Cross-Site Scripting) (상)
엔티티: sca(parameter)
위험: 합법적인 사용자로 위장하는데 사용할 수 있는 고객 세션 및 쿠키를 빼내거나 조직하는 것이 가능하여 캐터가 사용자 레코드를 보거나 변경할 수 있으며 해당 사용자처럼 트랜젝션을 수행할 수 있습니다.
원인: 사용자 입력 값에서 위험한 문자가 올바르게 필터링 되지 않았습니다.
수정권장사항: 위험한 문자 인젝션에서 사용 가능한 솔루션 검토
=>이유: 사용자의 브라우저에 페이지가 로드될 때 실행되는 스크립트를 Appscan이 응답에 임베드했으므로 테스트 결과가 취약성을 표시하는 것으로 보입니다.
문제 발생 파일
5.4..2.3 버전: bbs/board.php
보안패치 후/ 5.4.2.7 버전: bbs/board.php current_connect.php, faq.php, new.php, register.php, search.php
2. 문제: 비밀번호 필드에 대해 자동 완료 HTML 속석이 비활성화되지 않았습니다. (하)
위험: 웹 애플리케이션의 인증 메커니즘을 무시(bypass)하는 것이 가능할 것입니다.
원인: 안전하지 않은 웹애플리케이션 프로그래밍 또는 환경설정입니다.
수정권장사항: "자동완료" 속성을 off로 올바르게 설정하십시오.
=>이유: Appscan이 비밀번호 필드가 자동 완료 기능 비활성화를 강제 실행하지 않음을 발견했습니다.
문제발생파일: bbs/new.php, login.php
답변 2
2번은 login.skin.php outlogin.skin.php password 필드 속성을 off 를 추가함으로서 해결 가능합니다.
1.번의 경우는 db저장을 하지 않음으로 본인 이외에는 표시되지 않습니다.
오탐이라고 하셔도 되고, 취약점 대상 필드가 아니라고 하셔도 됩니다.
취약점 자체를 없앨려면, common.php 파일을 보시면 sca 필드값을 필터링 하는 부분에 코드를 더 추가하시면 됩니다.
a-zA-Z0-9가~힣 까지 문자만 허용하시고 그외 값은 다 제거 하시면 됩니다.
appscan이 정말 비싼 어플인데.... 부럽.
2번 문제는 skin/member/basic/login.skin.php와
skin/outlogin/basic/outlogin.skin.1.php에서
<input type="password" 에 autocomplete="off"를 삽입하시면 될 듯 싶네요.
