XSS 취약점 질문

XSS 취약점 질문

QA

XSS 취약점 질문

본문

사용자 입력 값에 대한 필터링에 대한 요청을 받았습ㄴ다.

주소입력창에 악의적인 스크립트를 삽입하여 사용자 권한획득, 페이지 강제 이동등의 

악의적인 행위를 할수 있다는 취약점 부분에 대한 문의를 드립니다.

 

/bbs/board.php?bo_table=forecast  이렇게 진행 되는 부분의 

/bbs/board.php?bo_table=forecast&co_id=sponse 이런 식으로 추가 입력시 화면에서 

반응할 수 없도록 하는 필터링 방법이 있는지요?

 

즉, &뒤에 부분이 입력되지 않게 하려면 어떻게 해야 하는지요?

특수구문 필터링 규칙을 이용하는 것은 무엇인지요?

 

 

이 질문에 댓글 쓰기 :

답변 2

그누보드의 경우 파라미터를 자동으로 전역변수로 만들어주는 코드가 있기 때문에 변수사용시에 항상 초기화해주시고 특정 파라미터를 차단하실려면
 if (isset($_GET['co_id'])) $co_id= ''; 
처럼 초기화시켜버리면 됩니다. 불특정 다수라면 필요한 값만 제외하고 모두 초기화 시켜버릴수도 있습니다.

 

전역 변수로

https://github.com/gnuboard/gnuboard5/blob/84dd9f07661a41730cddee4816b8ec806665ca2c/common.php#L118

 

전역 변수에서 일부 필터링 참고

https://github.com/gnuboard/gnuboard5/blob/84dd9f07661a41730cddee4816b8ec806665ca2c/common.php#L25

답변을 작성하시기 전에 로그인 해주세요.
전체 35
QA 내용 검색
filter #xss ×

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT