XSS 취약점 질문 채택완료
사용자 입력 값에 대한 필터링에 대한 요청을 받았습ㄴ다.
주소입력창에 악의적인 스크립트를 삽입하여 사용자 권한획득, 페이지 강제 이동등의
악의적인 행위를 할수 있다는 취약점 부분에 대한 문의를 드립니다.
http://concert3.cafe24.com/bbs/board.php?bo_table=forecast">/bbs/board.php?bo_table=forecast 이렇게 진행 되는 부분의
http://concert3.cafe24.com/bbs/board.php?bo_table=forecast">/bbs/board.php?bo_table=forecast&co_id=sponse 이런 식으로 추가 입력시 화면에서
반응할 수 없도록 하는 필터링 방법이 있는지요?
즉, &뒤에 부분이 입력되지 않게 하려면 어떻게 해야 하는지요?
특수구문 필터링 규칙을 이용하는 것은 무엇인지요?
답변 2개
그누보드의 경우 파라미터를 자동으로 전역변수로 만들어주는 코드가 있기 때문에 변수사용시에 항상 초기화해주시고 특정 파라미터를 차단하실려면
if (isset($_GET['co_id'])) $co_id= '';
전역 변수로
https://github.com/gnuboard/gnuboard5/blob/84dd9f07661a41730cddee4816b8ec806665ca2c/common.php#L118
전역 변수에서 일부 필터링 참고
https://github.com/gnuboard/gnuboard5/blob/84dd9f07661a41730cddee4816b8ec806665ca2c/common.php#L25
댓글을 작성하려면 로그인이 필요합니다.
댓글을 작성하려면 로그인이 필요합니다.
답변을 작성하려면 로그인이 필요합니다.
로그인