포럼

  2. Support
  3. 포럼

XSS 공격

2013.11.17 09:07

CI

xss.png


애드온같은 곳에 메시지 입력하는 란 있잖아요, 거기에 스크립트 코드를 입력하면 해당 메시지가 출력되는 페이지에서는 오른쪽과 같이 코드가 실행되네요. 이거 보안상으로 문제 없는건가요?



========



의미가 불확실하게 전달된 것 닽네요. $this->stop('메시지'); 에서 메시지 부분에 스크립트 코드를 넣으면 실제로 실행된다 이말입니다.

그런데 이런 경우 sprintf로 사용자가 입력한 값을 인자로 받아올 때가 있잖아요. 이런과정에서 문제생기지는 않나 의문입니다.

이 게시물을

asdf

좋아요
목록
글쓴이 제목 최종 글
숭숭군 xe폴더 어떻게 처리 하시는지요? [7] 2014.04.17 by 국가정보보안
애니즌 예전 제로보드 사용할 때 쓰던 zerocounter db를 xe_counter로 이전했습니다. [4] file 2014.04.17 by 애니즌
루팡쿠팡 문득 든 생각인데요... [1] 2014.04.17 by 애니즌
업글 XE ROUTE기능은 언제쯤 적용될까요? [5] 2014.04.17 by LI-NA
Paul 흠... 아이폰에서 회원삭제가 불가능하네요. [3] 2014.04.17 by KrteamENT
銀童 포럼 개편을 환영합니다. [12] 2014.04.17 by BJ람보
또별 XE 1.7.5-beta.2 설치하신분 이상 없으신가요?  
애니즌 후.. 애드온 업데이트를 완료.. [56] 2014.04.16 by 애니즌
애니즌 하핫 문서 애드박스 애드온이 꽤 유용해질 것 같습니다! [13] 2014.04.16 by 애니즌
XE만세 (수정) 속도 문제 해결했습니다, [2] 2014.04.16 by XE만세
푸시아 저사양 서버의 XE [7] 2014.04.16 by GG
ForHanbi 폰트가 바뀐거 같네요. [5] 2014.04.16 by 뮤르시엘라고
DynamicLaser github로 pull request 두번한게 모두 다 반영되었네요. [3] 2014.04.15 by XE
이즈야 1.7.5 나오는 거 아니었나요? [6] 2014.04.15 by 애니즌
W.O 질문이 해결되었으면 해결되었다고 댓글을 달아주셨으면 좋겠어요 [3] 2014.04.15 by W.O
곰탕lol왕자 imgur api 드디어 깔았네요 [8] 2014.04.15 by 곰탕lol왕자
애니즌 xe에서는 임의 속성을 삭제하나 봅니다..ㅠㅠ [8] 2014.04.15 by 애니즌
DynamicLaser 게시판 스킨에서 꼭 필요한 기능 어느것들이 있을까요? [3] 2014.04.15 by XE힘들당휴
zero [취소] zbXE를 이용한 사이트 구축 및 활용 사례에 대해서 주제 발표해주실 분 모십니다. [3] 2014.04.14 by RPGLover
마이웹 참나 기가 막혀서 [52] 2014.04.14 by 이니셔티브
태그 쓰기