URL을 통한 스크립트 공격에 대한 단상
본문
안녕하세요.
예전에 그누보드4에 아래 명령이 common.php 파일에 있었는데요.
$_GET = xss_clean($_GET);
이것은 search.php 명령 같은 것을 실행할때 파라메터로 <script>prompt(98)</script> 등을 넣어 공격하는 것을 방어하기 위한 것인걸로 압니다.
즉, URL의 변수에 스크립트 명령을 이용한 공격을 방어하기 위한 명령인데 그누보드5에는 보이지 않네요.
웹취약점 점검을 했는데 가장 많은것이 스크립트 공격이네요.
조언 부탁드립니다. 수정해 나가는데 엄두가 안납니다..ㅎㅎ
즐거운 주말되세요.
답변 3
clean_xss_tags 함수가 있네요.
lib / common.lib.php 파일에서 찾아 보세요.
common.php 파일에서는 common.lib.php 함수를 쓸수가 없지 않나요?
그누보드4에서는 xss_clean 함수를 정의해서 사용하더군요.
한글 검색에 문제가 있어서 없앴다고 하던데 저는 다시 집어 넣어 문제를 해결했습니다.
조언 감사합니다.
get_text() 함수 사용해 보세요.
(예)
<?php echo get_text($list[$i]['wr_name']); ?>
예를들면 주소줄에 다음과 같이 직접 값을 넣어 공격하는 경우에 대비하고자 합니다.
https://www.abc.com/bbs/board.php?bo_table=notice&sca=&sop=and&sfl=wr_subject&stx=<script>alert(3332)</script>
혹시 이부분 해결 하셨나요..?
검색창이 아닌 url 자체에 위에 쓰신것 처럼 https://www.abc.com/bbs/board.php?bo_table=notice&sca=&sop=and&sfl=wr_subject&stx=<script>alert(3332)</script>
<script> </script> 를 넣는 공격에 대한 대비는 어떻게 해야되는지 모르겠네요
혹시 해결하셨으면 어떻게 하셨는지 알려주실 수 있나요..?
https://sir.kr/g4_pds/5129
참고하시기 바랍니다.
