xss 관련 질문드립니다.
본문
현재 운영중인 홈페이지에 대해서 xss 관련 리포트를 받았습니다.
그런데 문제가 되고 있다는 URL들을 살펴보니 다음과 같은 형식들이 많아서요..
예를 들어 https://www.myhome.com/images/sample_img.png?"%26gt;%26lt;script%26gt;alert(81)%26lt;/script%26gt;=
이런 이미지 경로라던지, 아니면 index 파일이 없는 디렉토리라던지, 이런것들이 상당수인데,
신뢰할만한 리포트인지 궁금합니다.
저런식으로 이미지 파일에 스크립트 삽입이 가능하다고 봐야하는지..
답변 2
안녕하세요.
디코딩 하면 https://www.myhome.com/images/sample_img.png?"><script>alert(81)</script>= 이런것인데..
공격자가 이미지 URL에 스크립트를 삽입하려는 시도로 보입니다~
대략적으로 설명을 하면 다음과 같습니다.
제시된 URL은 보안 취약점 테스트의 일부로서 XSS(크로스 사이트 스크립팅) 공격의 가능성을 확인한 것으로 보입니다. 예제 URL은 이미지 파일을 불러오는 경로처럼 보이지만, 실제로는 XSS 공격을 시도하는 부분이 들어가 있습니다.
여러 이유로 인해 이러한 종류의 URL은 보안 문제를 야기할 수 있습니다. 주로 웹 애플리케이션에서 사용자로부터 입력을 받아 그것을 안전하게 처리하지 않을 때 발생하는 문제입니다. 이러한 상황에서 공격자는 악의적인 스크립트를 삽입하여 해당 스크립트를 피해 사용자에게 악의적인 행동을 유도할 수 있습니다.
조치방법
입력 검증 및 제한: 사용자 입력을 받을 때, 그 입력을 검증하고 필요한 경우에는 특수문자를 필터링하거나 이스케이프 처리하여 안전하게 사용해야 합니다.
콘텐츠 보안 정책(CSP) 사용: CSP를 통해 허용되지 않은 스크립트의 실행을 방지할 수 있습니다.
웹 방화벽 구성: 웹 방화벽을 통해 악의적인 요청을 차단하고 허용된 패턴만 허용하도록 구성할 수 있습니다.
최신 버전 및 보안 패치 적용: 웹 애플리케이션과 사용하는 라이브러리, 프레임워크 등의 모든 구성 요소를 최신 버전으로 업데이트하고 보안 패치를 적용하는 것이 중요합니다.
