시큐어 코딩 : 사용자 입력 값 검증 로직 구현 1) 개요   Project:Web Site 웹 사이트 게시판에서 작성하는 게시글에서 발견된 크로스사이트 스크립팅(XSS) 취약점을 방지하기 위하여 대응 방안 중 하나인 사용자 입력 값 검증 로직을 구현하여 실제로 크로스사이트 스크립팅(XSS) 취약점을 방지할 수 있는지 확인한다.  2) 방법   Project:Web Site 웹 사이트에서 게시판에서 작성하는 게시글 제목, 내용을 입력하는 사용자 입력 값에 스크립트를 삽입하여 클라이언트 웹 브라우저에서 게시판과 게시글 상세정보 페이지를 요청하면 스크립트가 작동하는 것을 확인할 수 있다. 이는 XSS 취약점 종류 중 Stored XSS에 해당하며 게시글 작성 혹은 수정 시 입력되는 제목, 내용 사용자 입력 ..

대응 방안 (feat.주요통신기반시설) 1) 점검 방법   크로스사이트 스크립팅(XSS) 취약점을 점검하는 방법은 다음과 같다. 사용자 입력 값을 전달받는 애플리케이션(회원정보 변경, 게시판, 댓글, 자료실 등)에 스크립트 입력 후 실행되는지 확인사용자 입력 값을 전달받는 애플리케이션(검색, URL)에 스크립트 입력 후 실행되는지 확인  2) 보안설정방법   크로스사이트 스크립팅(XSS) 취약점에 대한 대응 방안은 다음과 같다. 웹 사이트에 사용자 입력 값이 저장되는 페이지는 공격자가 웹 브라우저를 통해 실행되는 스크립트 언어(HTML, Javascript, VBScript 등)를 사용하여 공격하므로 해당되는 태그 사용을 사전에 제한하고, 사용자 입력 값에 대한 필터링 작업이 필요함게시물의 본문뿐만 아니..

XSS의 스크립트 XSS의 스크립트는 Javascript의 스크립트를 주로 사용하며 HTML에서 Javascript는 의 형태로 사용된다. XSS 공격은 해당 형태의 스크립트를 URL 혹은 게시글에 삽입하여 공격자가 원하는 Javascript 코드를 피해자의 웹 브라우저에서 작동하도록 만든다. 그렇다면 실습용 웹 페이지에서 XSS 공격 실습을 진행해 보도록 하자. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 XSS test page 전송 Colored by Color Scripter cs 위 코드는 간단하게 만든 실습용 웹 페이지 코드이다. 입력칸에 임의의 데이터를 입력하여 전송 버튼을 클릭하게 되면 하단..