그누보드 QA - XSS 취약점 질문

XSS 취약점 질문

2020.07.20 19:10:27 조회 1360 (116.♡.♡.140)

본문

사용자 입력 값에 대한 필터링에 대한 요청을 받았습ㄴ다.

주소입력창에 악의적인 스크립트를 삽입하여 사용자 권한획득, 페이지 강제 이동등의

악의적인 행위를 할수 있다는 취약점 부분에 대한 문의를 드립니다.

/bbs/board.php?bo_table=forecast 이렇게 진행 되는 부분의

/bbs/board.php?bo_table=forecast&co_id=sponse 이런 식으로 추가 입력시 화면에서

반응할 수 없도록 하는 필터링 방법이 있는지요?

즉, &뒤에 부분이 입력되지 않게 하려면 어떻게 해야 하는지요?

특수구문 필터링 규칙을 이용하는 것은 무엇인지요?

#그누보스5 #xss

2020-07-20 19:27:06 110.♡.♡.216

그누보드의 경우 파라미터를 자동으로 전역변수로 만들어주는 코드가 있기 때문에 변수사용시에 항상 초기화해주시고 특정 파라미터를 차단하실려면

 if (isset($_GET['co_id'])) $co_id= '';

처럼 초기화시켜버리면 됩니다. 불특정 다수라면 필요한 값만 제외하고 모두 초기화 시켜버릴수도 있습니다.

전역 변수로

전역 변수에서 일부 필터링 참고

2020-07-21 09:34:05 116.♡.♡.140

감사합니다.

답변을 작성하시기 전에 로그인 해주세요.

전체 35

로그인