그누프레스 사용중인데 도메인 기관으로부터 XSS 취약점을 지적받았습니다
본문
워드프레스 4.2.2 최신버전, 그누프레스 0.1.1 사용중입니다,
도메인 기관에서 XSS 취약점이 발견되었다고 등록을 보류하여 해결책을 알아보던 중에
iframe, script 등의 태그를 막고 화이트리스트로 p, br, img 등만 등록을 하는 방법을 알게 되었는데
적용을 어떻게 해줘야 할지, 코드까막눈이라 막막하네요..ㅠ
화이트리스트, xss 검색을 해보아도 답을 찾기 어려워 질문 남겨봅니다, 도와주세요ㅠㅠ
답변 1
워드프레스 내장 함수를 사용해 보세요.
http://codex.wordpress.org/Validating_Sanitizing_and_Escaping_User_Data
HTML Purifier 라이브러리를 사용하시는것도 도움이 됩니다.
참고url
http://phpschool.com/link/tipntech/77221
그누프레스에 대한 XSS 취약점 보고이면
저희 사이트내 버그 게시판에 취약점 보고 내용을 올려주시면, 조취 하도록 하겠습니다.
답변 감사드립니다,
남겨주신 링크의 HTML Purifier 에 대한 내용을 읽어보고 관련 예제도 보았는데 역시 적용법을 모르겠네요ㅠ
"그누프레스에 대한 XSS취약점 보고" 라고 말씀해주신 부분이 혹시,
환경설정에서 에디터 없음으로 하여 나오는 그누프레스 기본 에디터(위지윅 없고 상단 체크박스가 공지/html 만 있는)를 말씀해주신 건가요? 그렇다면 그누프레스 기본에디터 사용시 XSS 취약점은 해결된 상태라고 봐도 될런지요?
도메인 기관에서 테스트받을땐 워드프레스 에디터(위지윅)가 적용된 상태에서 테스트를 했었기에 재차 질문드립니다.
P.S- 항상 친절하신 답변 감사합니다!
도메인 기관에서 XSS 취약점이 발견 됬다고 하면은...
보통 어디 부분이 잘못 됬었다고 얘기를 해 줄텐데요.
그걸 안알려주면 못찾습니다. ㅠ
그누프레스에서 HTML Purifier 사용한 곳은 lib/common.lib.php 에서
g5_html_purifier 으로 검색해 보시면 됩니다.
글 내용은 부분은 에디터 와 textarea 둘 다 똑같이 HTML Purifier 가 적용되었습니다.
