brup에 인터프리터로 값을 설정할 경우 처리방법에 대해서 채택완료
안녕하세요 ? 며칠전 xss 때문의 글을 올렸는데, 고수님들이 알려주셔서 참고를 했습니다만
burp툴에서 proxy를 통해서 인터프리터기능으로 검색어 뒤에 stx="><script>alert(document.cooke)</script> 값을 설정하고, 검색어를 입력하면 저 스크립트가 실행되어 나타나는데, 이런 경우 어떻게 막으면 될까요 ? 문제는 프록시를 통해서 변경하면 xss 방지가 안된다고 계속 취약점에 대해서 문제 제기를 합니다.
이런 경험이 있으신분은 조언을 해주시면 고맙겠습니다.
감사합니다.
답변 2개
채택된 답변
+20 포인트
Min아빠
2년 전
Copy
function get_search_string($stx)
{
$stx_pattern = array();
$stx_pattern[] = '#\.*/+#';
$stx_pattern[] = '#\\\*#';
$stx_pattern[] = '#\.{2,}#';
$stx_pattern[] = '#[/\'\"%=*\#\(\)\|\+\&\!\$~\{\}\[\]`;:\?\^\,]+#';
$stx_replace = array();
$stx_replace[] = '';
$stx_replace[] = '';
$stx_replace[] = '.';
$stx_replace[] = '';
$stx = preg_replace($stx_pattern, $stx_replace, $stx);
return $stx;
}
$stx = get_search_string(trim($_REQUEST['stx']));
이런식으로 처리하시면 됩니다.
로그인 후 평가할 수 있습니다
답변에 대한 댓글 2개
t
techstar
2년 전
네 MIns님 그렇게 처리했는데도, 알려주신대로 해서 수정했는데도, brup에서 인터프리터 on 해서 거기에 스크립트 넣고, 검색하면 alert창이 그대로 뜬다고 하는데요. 이거 참... 일단 다시 확인해보겠습니다. 감사합니다.!!
댓글을 작성하려면 로그인이 필요합니다.
techstar
2년 전
안녕하세요 ? 액트온님. 다른 분히 해결해주셨습니다. 감사합니다. 결국 테마쪽 문제로..
로그인 후 평가할 수 있습니다
댓글을 작성하려면 로그인이 필요합니다.
답변을 작성하려면 로그인이 필요합니다.
로그인