PHP XSS 공격과 대응 방안
페이지 정보
본문
오늘 사이트 보안관련 포스팅을 합니다.
XSS 공격이라고 들어 봤나요?
XSS는 공격자가 상대방의 브라우저에 Script를 실행할 수 있게 하여 사용자의 Session을 가로채거나 웹 사이트 변조, 악의적 컨텐츠 삽입, 피싱 공격을 할 수 있다.
사이트 관라지로서...
파라미터들에 대해 htmlspecialchars()와 같은 함수로 echo 출력하는 부분이나 $_GET/$_POST 파라미터에 문자열 필터링을 하는 것이 좋을 것 같습니다.
즉, 아래와 같은 부분을 찾아 처리 하면 됩니다.
$_GET or $_POST or $_REQUEST
아래 샘플을 참고 해주세요.
[code]
//외부에서 입력받는 값들. htmlspecialchars() 함수로 html tag를 막아야 함.2021.12.18
function sanitize_string($str){
// &(ampersand) 는 encoding 처리하지 않도록 설정.2021.12.25
return str_replace(array("&"), array("&"), htmlspecialchars($str, ENT_QUOTES));
}
//처리 할 변수값은 request 또는 get
//예. $short = sanitize_string($_REQUEST['short']); or $domain = sanitize_string($_GET['domain']);
$short = sanitize_string($_REQUEST['short']);
$email = sanitize_string($_REQUEST['email']);
//외부입력 변수 끝
[/code]
- 이전글
- 다음글
댓글목록
등록된 댓글이 없습니다.