[설계보안] 입력데이터 검증 및 표현 05 - 웹 서비스 요청 및 결과 검증
가. 취약점 개요 - 악의적인 스크립트를 포함하여 웹페이지를 열람하는 접속자의 권한으로 부적절한 스크립트를 실행하여 정보유출 등을 유도하는 취약점 → 크로스 사이트 스크립트 Reflected - 서버에 악의적인 스크립트를 포함한 정보를 저장 후 해당 정보를 조회하는 접속자의 권한으로 부적절한 스크립트를 실행하여 정보유출 등을 유도하는 취약점 → 크로스 사이트 스크립트 Stored 나. 요구사항 1. 사용자 입력값을 동적으로 응답페이지에 사용할 경우, XSS 필터링 수행 후 사용 2. DB조회 결과를 동적으로 응답페이지에 사용할 경우, XSS 필터링 수행 후 사용 다. 요구사항 별 고려사항 1. 사용자 입력값을 동적으로 응답페이지에 사용할 경우, XSS 필터링 수행 후 사용 - 필터를 이용한 입력값 검증 ..
XSS(Cross Site Script) 취약점 분석
웹해킹을 진행하면 가장 먼저 소개하는 취약점이 XSS인 것 같습니다.XSS는 기본적으로 입력값과 출력값을 검증하지 않아서 악성코드가 삽입되거나, 인증정보가 탈취되는 취약점이죠. 그 과정이 어떻게 되느냐에 따라 Stored인지 Reflected인지 등으로 구분이 되는 것일 뿐 개인적으로 크게 중요하지는 않아 보입니다. 오히려 중요한 점은 개발자가 검증하는 값이 사용자로부터 직접 입력받는 값에 대해서만 검증한다는 점일 것 같습니다. 입력값이 사용자 기준이 아니라 웹서버 기준으로 입력되는 모든 데이터를 검증하는 것이 가장 중요하기 때문이죠. 이와 관련된 일부 케이스는 아래와 같습니다. 01. 일반적인 파라미터를 통해 전달받은 입력값의 검증02. 일부 입력값의 검증 예외처리03. 일부 입력값을 가져오는 함수에 ..
- Total
- Today
- Yesterday