크로스사이트 스크립팅(2)
-
[Web Application-모의해킹] 크로스사이트 스크립팅(XSS) : 시큐어 코딩(사용자 입력 값 검증 로직 구현) #6-2
시큐어 코딩 : 사용자 입력 값 검증 로직 구현 1) 개요 Project:Web Site 웹 사이트 게시판에서 작성하는 게시글에서 발견된 크로스사이트 스크립팅(XSS) 취약점을 방지하기 위하여 대응 방안 중 하나인 사용자 입력 값 검증 로직을 구현하여 실제로 크로스사이트 스크립팅(XSS) 취약점을 방지할 수 있는지 확인한다. 2) 방법 Project:Web Site 웹 사이트에서 게시판에서 작성하는 게시글 제목, 내용을 입력하는 사용자 입력 값에 스크립트를 삽입하여 클라이언트 웹 브라우저에서 게시판과 게시글 상세정보 페이지를 요청하면 스크립트가 작동하는 것을 확인할 수 있다. 이는 XSS 취약점 종류 중 Stored XSS에 해당하며 게시글 작성 혹은 수정 시 입력되는 제목, 내용 사용자 입력 ..
2024.05.04 -
[Web Application-모의해킹] 크로스사이트 스크립팅(XSS) : 대응 방안 #6-1
대응 방안 (feat.주요통신기반시설) 1) 점검 방법 크로스사이트 스크립팅(XSS) 취약점을 점검하는 방법은 다음과 같다. 사용자 입력 값을 전달받는 애플리케이션(회원정보 변경, 게시판, 댓글, 자료실 등)에 스크립트 입력 후 실행되는지 확인사용자 입력 값을 전달받는 애플리케이션(검색, URL)에 스크립트 입력 후 실행되는지 확인 2) 보안설정방법 크로스사이트 스크립팅(XSS) 취약점에 대한 대응 방안은 다음과 같다. 웹 사이트에 사용자 입력 값이 저장되는 페이지는 공격자가 웹 브라우저를 통해 실행되는 스크립트 언어(HTML, Javascript, VBScript 등)를 사용하여 공격하므로 해당되는 태그 사용을 사전에 제한하고, 사용자 입력 값에 대한 필터링 작업이 필요함게시물의 본문뿐만 아니..
2024.05.04