• 목록

오늘 사이트 보안관련 포스팅을 합니다.

 

XSS 공격이라고 들어 봤나요?

XSS는 공격자가 상대방의 브라우저에 Script를 실행할 수 있게 하여 사용자의 Session을 가로채거나 웹 사이트 변조, 악의적 컨텐츠 삽입, 피싱 공격을 할 수 있다. 

 

사이트 관라지로서...

파라미터들에 대해 htmlspecialchars()와 같은 함수로 echo 출력하는 부분이나 $_GET/$_POST 파라미터에 문자열 필터링을 하는 것이 좋을 것 같습니다.

 

즉, 아래와 같은 부분을 찾아 처리 하면 됩니다.

$_GET or $_POST or $_REQUEST

아래 샘플을 참고 해주세요.

 

[code]

//외부에서 입력받는 값들. htmlspecialchars() 함수로 html tag를 막아야 함.2021.12.18

function sanitize_string($str){

// &(ampersand) 는 encoding 처리하지 않도록 설정.2021.12.25

return str_replace(array("&"), array("&"), htmlspecialchars($str, ENT_QUOTES));

}

//처리 할 변수값은 request 또는 get

//예. $short = sanitize_string($_REQUEST['short']); or $domain = sanitize_string($_GET['domain']);

$short = sanitize_string($_REQUEST['short']);

$email = sanitize_string($_REQUEST['email']);

//외부입력 변수 끝

[/code]