포럼

  2. Support
  3. 포럼

XSS 공격

2013.11.17 09:07

CI

xss.png


애드온같은 곳에 메시지 입력하는 란 있잖아요, 거기에 스크립트 코드를 입력하면 해당 메시지가 출력되는 페이지에서는 오른쪽과 같이 코드가 실행되네요. 이거 보안상으로 문제 없는건가요?



========



의미가 불확실하게 전달된 것 닽네요. $this->stop('메시지'); 에서 메시지 부분에 스크립트 코드를 넣으면 실제로 실행된다 이말입니다.

그런데 이런 경우 sprintf로 사용자가 입력한 값을 인자로 받아올 때가 있잖아요. 이런과정에서 문제생기지는 않나 의문입니다.

이 게시물을

asdf

좋아요
목록
글쓴이 제목 최종 글
DynamicLaser github로 pull request 두번한게 모두 다 반영되었네요. [3] 2014.04.15 by XE
이즈야 1.7.5 나오는 거 아니었나요? [6] 2014.04.15 by 애니즌
W.O 질문이 해결되었으면 해결되었다고 댓글을 달아주셨으면 좋겠어요 [3] 2014.04.15 by W.O
곰탕lol왕자 imgur api 드디어 깔았네요 [8] 2014.04.15 by 곰탕lol왕자
애니즌 xe에서는 임의 속성을 삭제하나 봅니다..ㅠㅠ [8] 2014.04.15 by 애니즌
DynamicLaser 게시판 스킨에서 꼭 필요한 기능 어느것들이 있을까요? [3] 2014.04.15 by XE힘들당휴
zero [취소] zbXE를 이용한 사이트 구축 및 활용 사례에 대해서 주제 발표해주실 분 모십니다. [3] 2014.04.14 by RPGLover
마이웹 참나 기가 막혀서 [52] 2014.04.14 by 이니셔티브
xe_마니 SSL자동설치 [9] 2014.04.14 by xe_마니
애니즌 문서 모듈에서 공지로 설정된 글이 항상 최근 글로 인식하는 문제..? file  
애니즌 휴... [34] 2014.04.14 by 애니즌
ForHanbi 포럼형이면 진짜 포럼형 구조를 여기에 한번 테스트 해 보는것도... [5] 2014.04.14 by teguh100
용초딩 아이디 로그인, 이메일 로그인 차이가 뭔가용? [5] 2014.04.14 by 용초딩
마이웹 정말 솔직히 이야기할까요? [3] 2014.04.14 by KrteamENT
ForHanbi 이런 카르마님의 검색모듈이 안정화 되었나보네 [10] 2014.04.14 by JinkPark
AJKJ 서버→클라이언트 암호화 애드온 개발 실패 ㅠㅠ [6] 2014.04.14 by 기진곰
ForHanbi 전문가를 상대하기는 힘들어... [2] 2014.04.14 by ForHanbi
DynamicLaser 이미지 압축만 서비스하는 신기한 홈페이지가 있어서 소개합니다. [6] 2014.04.14 by 카르마
W.O 가끔 보면 이런 생각이 듭니다. [2] 2014.04.14 by zombiman
XE 공식사이트 관련 문의나 제안사항은 "사이트 이용 문의"로 부탁드립니다. [10] 2014.04.14 by socialskyo
태그 쓰기