amin.lib.php XSS 체크 스킵

amin.lib.php XSS 체크 스킵

QA

amin.lib.php XSS 체크 스킵

본문

영카트 itemformupdate.php 로 post해서  상품을 올리려 하는데, 데이터값에 html 구문을 넣었더니 요청 쿼리에 잘못된 스크립트문장이 있습니다.\nXSS 공격일수도 있습니다.

가 뜨는군요 itemformupdate.php를 통한 구문은 잡지않게 수정할 방법이 없을까요?

이 질문에 댓글 쓰기 :

답변 3

이미지 파일을 첨부하는게 아니라 다른 서버 이미지를 링크해서 쓰시려는거라면 src 값만 따로 받아서 처리하시면 되지 않을까요. 질문이 포괄적이라 구체적인 상황이해가 안돼서 왜 이미지 태그를 넣으시는건지 궁금하네요.

상품등록 테이블에 여분필드가 아마 있을거에요. 그 부분에 넣으시면 될듯.

post 로 넘기는 값에 스크립트등을 포함 할수 없습니다.

요청 쿼리에 잘못된 스크립트문장이 있습니다.\\nXSS 공격일수도 있습니다.

 

이 메시지는

 

referer 값이 없을 때 또는 관리자 경로가 아닌 다른 경로에서 요청 했을때 나오는 메시지입니다.

 

referer 값이 아예 없으면 100% 무조건 위의 메시지가 나옵니다.

 

예를 들어 도메인이 http://abcd.com 이라고 가정하면

 

오류나는 예)

1. referer 값이 없음

2. http://abcd.com/블라블라/어떤파일또는경로(referer 값이) -> http://abcd.com/관리자폴더/shop_admin/itemformupdate.php 으로 post 요청시

 

오류가안나는 예)

1. referer 값이 http://abcd.com/관리자폴더/어떤파일또는경로 -> http://abcd.com/관리자폴더/shop_admin/itemformupdate.php 으로 post 요청시

 

referer 값을 체크하여 관리자폴더에서 요청할 경우에만 요청을 받습니다. 그 외 조건에는 요청 쿼리에 잘못된 스크립트문장이 있습니다.\\nXSS 공격일수도 있습니다. <<< 이렇게 메시지가 나오며 튕겨버립니다.

 

referer 값을 어떻게 받아오는지 체크해야 합니다.

referer 값은 브라우저나 서버설정에서 빈값으로 설정이 가능하니, referer 값이 없다면 다른 브라우저로 테스트 하거나 서버설정을 잘 확인해 봐야 합니다.

 

답변을 작성하시기 전에 로그인 해주세요.
전체 15,494
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIR SOFT