URL을 통한 스크립트 공격에 대한 단상

URL을 통한 스크립트 공격에 대한 단상

QA

URL을 통한 스크립트 공격에 대한 단상

본문

안녕하세요.

 

예전에 그누보드4에 아래 명령이 common.php 파일에 있었는데요.

 

$_GET = xss_clean($_GET);

 

이것은 search.php 명령 같은 것을 실행할때 파라메터로 <script>prompt(98)</script> 등을 넣어 공격하는 것을 방어하기 위한 것인걸로 압니다.

 

즉, URL의 변수에 스크립트 명령을 이용한 공격을 방어하기 위한 명령인데 그누보드5에는 보이지 않네요.

 

웹취약점 점검을 했는데 가장 많은것이 스크립트 공격이네요.

 

조언 부탁드립니다. 수정해 나가는데 엄두가 안납니다..ㅎㅎ

 

즐거운 주말되세요.

이 질문에 댓글 쓰기 :

답변 3

clean_xss_tags 함수가 있네요.

lib / common.lib.php 파일에서 찾아 보세요.

common.php 파일에서는 common.lib.php 함수를 쓸수가 없지 않나요?
그누보드4에서는  xss_clean 함수를 정의해서 사용하더군요.
한글 검색에 문제가 있어서 없앴다고 하던데 저는 다시 집어 넣어 문제를 해결했습니다.
조언 감사합니다.

get_text() 함수 사용해 보세요.

(예)

<?php echo get_text($list[$i]['wr_name']); ?>

혹시 이부분 해결 하셨나요..?

 

검색창이 아닌 url 자체에 위에 쓰신것 처럼 https://www.abc.com/bbs/board.php?bo_table=notice&sca=&sop=and&sfl=wr_subject&stx=<script>alert(3332)</script>

<script> </script> 를 넣는 공격에 대한 대비는 어떻게 해야되는지 모르겠네요

혹시 해결하셨으면 어떻게 하셨는지 알려주실 수 있나요..?

답변을 작성하시기 전에 로그인 해주세요.
전체 35
QA 내용 검색
filter #xss ×

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT