XSS
-
화이트 리스트 (White List) 기법 이용한 크로스 사이트 스크립팅(XSS) 방어 예제보안(Security)/XSS 2018. 9. 10. 10:04
크로스 사이트 스크립팅(Cross Site Scripting)은 "게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격" 이라 네이버 지식백과에 기술되어 있다. 중요한 점은 웹 페이지에 스크립트 삽입이 가능하다는 점이다. 게시판 페이지를 통해 확인하자. 글 작성할 때 alert을 호출하는 스크립트를 삽입후 등록한다.정상적인 글을 클릭해 들어가면제목과 내용이 잘 나온다.반면 스크립트를 삽입한 게시글에서는다음과 같이 alert이 호출되고글 내용이 없게 되는 것이다. 게시판의 개발 목적 및 용도와 적합하지 않게 되고, 보안 또한 취약해지게 된다. 이를 극복하기 위해 네이버에서 lucy-xss를 지원한다..