XSS 관련하여 해결방법에 대해 문의드려요.

techstar 자기소개 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

자기소개 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

2023.09.01 06:51:24 2094 (211.♡.♡.155)

답변 3

본문

안녕하세요 ?

사내 보안사항에서 XSS 미조치건으로

board.php 에 stx 파라미터의 사용자 입력값을 필터링하라고 하는데요. 취약점이라고, "><script>alert(documen.cookie)/</script> 체크가 됩니다.

그누보드 최신 버전에서 이 부분에 대해 길이기 짧긴하지만 해결한거 같은데, 계속 이 부분이 취약하다고 몇번 지적을 받았는데, 어딜 어떻게 더 수정해야하는지 몰라서 글을 올려붑니다.

혹시 경험있으신 분의 조언을 부탁드립니다.

#그누보드5

답변 3

Mins아빠 자기소개 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

2023-09-01 09:05:04 220.♡.♡.151

lib에 common.lib.php에 보면


function get_search_string($stx)
{
    $stx_pattern = array();
    $stx_pattern[] = '#\.*/+#';
    $stx_pattern[] = '#\\\*#';
    $stx_pattern[] = '#\.{2,}#';
    $stx_pattern[] = '#[/\'\"%=*\#\(\)\|\+\&\!\$~\{\}\[\]`;:\?\^\,]+#';
    $stx_replace = array();
    $stx_replace[] = '';
    $stx_replace[] = '';
    $stx_replace[] = '.';
    $stx_replace[] = '';
    $stx = preg_replace($stx_pattern, $stx_replace, $stx);
    return $stx;
}
$stx = get_search_string(trim($_REQUEST['stx']));

이런식으로 처리하시면 됩니다.

↳ techstar 자기소개 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

2023-09-01 12:19:59221.♡.♡.130

대단히 감사합니다. 역시 고수님들의 능력을 믿었습니다.

swallow 홈페이지 자기소개 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

2023-09-01 09:12:43 117.♡.♡.15

PHP에 특수기호들을 변환해주는 함수를 사용하면 어떨까요?


function safe_string($text)
{
$search = array("\\", "\0", "\x1a", "\x8");
$replace= array("\\\\", "\\0", "\\Z", "\\b");
$text = str_replace($search, $replace, $text); 
$text = htmlspecialchars($text, ENT_QUOTES, 'UTF-8');
return $text;
}