URL을 통한 스크립트 공격에 대한 단상
본문
안녕하세요.
예전에 그누보드4에 아래 명령이 common.php 파일에 있었는데요.
$_GET = xss_clean($_GET);
이것은 search.php 명령 같은 것을 실행할때 파라메터로 <script>prompt(98)</script> 등을 넣어 공격하는 것을 방어하기 위한 것인걸로 압니다.
즉, URL의 변수에 스크립트 명령을 이용한 공격을 방어하기 위한 명령인데 그누보드5에는 보이지 않네요.
웹취약점 점검을 했는데 가장 많은것이 스크립트 공격이네요.
조언 부탁드립니다. 수정해 나가는데 엄두가 안납니다..ㅎㅎ
즐거운 주말되세요.
답변 3
clean_xss_tags 함수가 있네요.
lib / common.lib.php 파일에서 찾아 보세요.
get_text() 함수 사용해 보세요.
(예)
<?php echo get_text($list[$i]['wr_name']); ?>
혹시 이부분 해결 하셨나요..?
검색창이 아닌 url 자체에 위에 쓰신것 처럼 https://www.abc.com/bbs/board.php?bo_table=notice&sca=&sop=and&sfl=wr_subject&stx=<script>alert(3332)</script>
<script> </script> 를 넣는 공격에 대한 대비는 어떻게 해야되는지 모르겠네요
혹시 해결하셨으면 어떻게 하셨는지 알려주실 수 있나요..?
답변을 작성하시기 전에 로그인 해주세요.