brup에 인터프리터로 값을 설정할 경우 처리방법에 대해서 채택완료

techstar 2년 전 조회 1,929

안녕하세요 ? 며칠전 xss 때문의 글을 올렸는데, 고수님들이 알려주셔서 참고를 했습니다만

burp툴에서 proxy를 통해서 인터프리터기능으로 검색어 뒤에 stx="> 값을 설정하고, 검색어를 입력하면 저 스크립트가 실행되어 나타나는데, 이런 경우 어떻게 막으면 될까요 ? 문제는 프록시를 통해서 변경하면 xss 방지가 안된다고 계속 취약점에 대해서 문제 제기를 합니다.

이런 경험이 있으신분은 조언을 해주시면 고맙겠습니다.

감사합니다.

#그누보드5

댓글을 작성하려면 로그인이 필요합니다.

답변 2개

정렬:

채택된 답변

+20 포인트

Min아빠

2년 전


                
                function get_search_string($stx)
{
    $stx_pattern = array();
    $stx_pattern[] = '#\.*/+#';
    $stx_pattern[] = '#\\\*#';
    $stx_pattern[] = '#\.{2,}#';
    $stx_pattern[] = '#[/\'\"%=*\#\(\)\|\+\&\!\$~\{\}\[\]`;:\?\^\,]+#';
    $stx_replace = array();
    $stx_replace[] = '';
    $stx_replace[] = '';
    $stx_replace[] = '.';
    $stx_replace[] = '';
    $stx = preg_replace($stx_pattern, $stx_replace, $stx);
    return $stx;
}
$stx = get_search_string(trim($_REQUEST['stx']));</code></pre>

<p><code>
            

이런식으로 처리하시면 됩니다.

로그인 후 평가할 수 있습니다

답변에 대한 댓글 2개

techstar

2년 전

네 MIns님 그렇게 처리했는데도, 알려주신대로 해서 수정했는데도, brup에서 인터프리터 on 해서 거기에 스크립트 넣고, 검색하면 alert창이 그대로 뜬다고 하는데요. 이거 참... 일단 다시 확인해보겠습니다. 감사합니다.!!

�

액트온

2년 전

techstar 님 혹시 해당 정보좀 공유해주실수 있으신가요? 테스트를 어떤식으로 하시는지... 쪽지 드렸어요

댓글을 작성하려면 로그인이 필요합니다.

techstar

2년 전

안녕하세요 ? 액트온님. 다른 분히 해결해주셨습니다. 감사합니다. 결국 테마쪽 문제로..

로그인 후 평가할 수 있습니다

댓글을 작성하려면 로그인이 필요합니다.

답변을 작성하려면 로그인이 필요합니다.

로그인

brup에 인터프리터로 값을 설정할 경우 처리방법에 대해서 채택완료

답변 2개

답변에 대한 댓글 2개

공유하기