포럼
XSS 의 취약점?
2013.06.01 20:02
XSS 의 취약점(XSS 자체가 취약점이라 말 자체라는 뜻도 있는 것 같기도 하고.. 헷갈리네요)을 이용해
사이트에서 비정상적인 행동을 해커가 유발할 수도 있다고 하던데
말로만 들어봤지 실질적으로 피해를 받는다면 심각한 경우에는 어느정도인지 궁금하고
왜 이런 취약점이 존재하는지와 이에 대한 대비책은 무엇인지 알고싶네요.
댓글 2
-
criuce
2013.06.01 21:22
-
WhoamI
2013.06.01 21:52
와우 정말 감사합니다. 혹시 질문 몇가지만 더 드려도 될까요?
1. 게시물 올릴 때 criuce 님께서 언급하신 코드를 부분 허용하려면 어떻게 해야하는지 궁금합니다.
2. 보안 필터(?)라는 것도 있던데 이게 코드를 걸러주는 것 같더군요. 이것도 어떻게 해야하는지..
3. 악성코드의 유무는 또 어떻게 확인해야할까요..
(__)
XSS에 대해 이해하기 쉽게 설명을 드리자면,
특정 페이지에 악성 스크립트를 삽입하여 해당 페이지를 방문하는 유저의 세션키를 탈취할 수 있습니다.
세션키라는게 주로 사용자의 로그인 확인에 사용되기 때문에 세션키를 탈취하면 탈취한 세션키의 유저와 동일한 권한으로 사이트를 이용할 수 있습니다.
만약 관리자 권한이 있는 사용자의 세션키를 탈취한다면 사이트 전체를 날려버릴수도 있죠.
이를 막는 방법은 사용자가 게시물을 올릴때 script, embed ,iframe과 같은 코드 또는 style, on~과 같은 속성들을 사용하지 못하게 하거나 악성코드 유무를 확인하는 것입니다.
최신 브라우저의 경우 타 도메인으로 데이터를 전송하는 행위 자체를 완전히 차단하고 있기 때문에 큰 문제가 없으나 IE 구버전의 경우 이런 문제가 해결되지 않은채로 업데이트가 되지 않고 있습니다.
그러니 사이트 관리자 분들은 가금적 최신 버전의 브라우저를 사용하시면 좋습니다.
이정도면 설명이 됐을까요?