PHP XSS 공격과 대응 방안

페이지 정보

작성자 관리자 (49.♡.11.159) 조회 1,910회 작성일 21-12-18 23:52(글 수정: 2023년 07월 22일)

본문

오늘 사이트 보안관련 포스팅을 합니다.

 

XSS 공격이라고 들어 봤나요?

XSS는 공격자가 상대방의 브라우저에 Script를 실행할 수 있게 하여 사용자의 Session을 가로채거나 웹 사이트 변조, 악의적 컨텐츠 삽입, 피싱 공격을 할 수 있다. 

 

사이트 관라지로서...

파라미터들에 대해 htmlspecialchars()와 같은 함수로 echo 출력하는 부분이나 $_GET/$_POST 파라미터에 문자열 필터링을 하는 것이 좋을 것 같습니다.

 

즉, 아래와 같은 부분을 찾아 처리 하면 됩니다.

$_GET or $_POST or $_REQUEST


아래 샘플을 참고 해주세요.

 

[code]

//외부에서 입력받는 값들. htmlspecialchars() 함수로 html tag를 막아야 함.2021.12.18

function sanitize_string($str){

// &(ampersand) 는 encoding 처리하지 않도록 설정.2021.12.25

return str_replace(array("&"), array("&"), htmlspecialchars($str, ENT_QUOTES));

}


//처리 할 변수값은 request 또는 get

//예. $short = sanitize_string($_REQUEST['short']); or $domain = sanitize_string($_GET['domain']);


$short = sanitize_string($_REQUEST['short']);

$email = sanitize_string($_REQUEST['email']);


//외부입력 변수 끝

[/code]


 

 




보안 관련된 게시글 보기

댓글목록

등록된 댓글이 없습니다.