XSS 취약점 질문
본문
사용자 입력 값에 대한 필터링에 대한 요청을 받았습ㄴ다.
주소입력창에 악의적인 스크립트를 삽입하여 사용자 권한획득, 페이지 강제 이동등의
악의적인 행위를 할수 있다는 취약점 부분에 대한 문의를 드립니다.
/bbs/board.php?bo_table=forecast 이렇게 진행 되는 부분의
/bbs/board.php?bo_table=forecast&co_id=sponse 이런 식으로 추가 입력시 화면에서
반응할 수 없도록 하는 필터링 방법이 있는지요?
즉, &뒤에 부분이 입력되지 않게 하려면 어떻게 해야 하는지요?
특수구문 필터링 규칙을 이용하는 것은 무엇인지요?
답변 2
그누보드의 경우 파라미터를 자동으로 전역변수로 만들어주는 코드가 있기 때문에 변수사용시에 항상 초기화해주시고 특정 파라미터를 차단하실려면
처럼 초기화시켜버리면 됩니다. 불특정 다수라면 필요한 값만 제외하고 모두 초기화 시켜버릴수도 있습니다.
if (isset($_GET['co_id'])) $co_id= '';
전역 변수로
https://github.com/gnuboard/gnuboard5/blob/84dd9f07661a41730cddee4816b8ec806665ca2c/common.php#L118
전역 변수에서 일부 필터링 참고
https://github.com/gnuboard/gnuboard5/blob/84dd9f07661a41730cddee4816b8ec806665ca2c/common.php#L25
감사합니다.
답변을 작성하시기 전에 로그인 해주세요.