URL에 직접쳐서 자바스크립트 제어 관련 문의 드려요. 정보
개발자 URL에 직접쳐서 자바스크립트 제어 관련 문의 드려요.
본문
현재 관리하는 사이트가
예를들어
abc.com/index.php?abc=qqq 인데
abc.com/index.php?abc=qqq 여기에
abc.com/index.php?abc=qqq"><script>alert(document.cookie);</script>
URL 에 직접 "><script>alert(document.cookie);</script> 를 추가해서 이동하면
쿠키가 보이는 상태가 되어 있습니다.
검색해보니 XSS 패치를 해야 하는데..
게시판에 적어서 작동하는건 막는데.. 직접쳐서 들어오는건 어떤식으로 막아야 할지 고민입니다.
추천
0 비추천
0
0 비추천
0
댓글 5개
직접처서 본인 쿠키 보는건 별문제없을거같은데요 게시판에 심어서 다른사람 쿠키 빼와세션값취하는게문제
abc변수에대해 값을 체크하세요.
페이지 상단에 아래의 PHP구문
$qqq = $_GET['qqq'] = $_POST['qqq'] = str_replace('<',<,$_GET['qqq']);
한줄 추가해보세요.
$qqq = $_GET['qqq'] = $_POST['qqq'] = str_replace('<',<,$_GET['qqq']);
한줄 추가해보세요.
POST든 GET이든 모든 변수값은 검사되어야 합니다.
만약 브라우저 주소창에 입력해서 넘어오는 경우라면 HTTP REFERER 값이 비어서 오기 때문에
그거 체크해서 잘못된 접근이라고 차단 하시면 됩니다.
그외에 경우라면 변수값을 검사하는 함수 하나 만들어서 차단 하시면 됩니다.
그거 체크해서 잘못된 접근이라고 차단 하시면 됩니다.
그외에 경우라면 변수값을 검사하는 함수 하나 만들어서 차단 하시면 됩니다.