질문과 답변, 세팅정보 및 오류정보를 최대한 상세히 남겨주시면 보다 빠르고 정확한 답변을 드릴 수 있습니다.
중첩되는 질문이 없는지 확인하신 후 오류발생 페이지의 URL을 기입하여 질문해주세요. 그리고 질문에 대해 해결된 사항은 답변을 달아주시면 다른 회원님에게 좋은 자료가 됩니다.
  • 제   목 xss공격 관련 관련 문의
  • 작성자 작두 등록일 2024-02-07/09:29 조회수 337

list.asp에서 게시글을 검색할 경우, url에 find_text값이 같이 붙어서 검색이 되는것으로 알고 있는데,
find_text값에 일부 텍스트를 넣을 경우 (예 : <>) 내부에서 xss 공격이 가능한 것으로 확인이 되었습니다.

게시판 함수를 확인하던 중, inxss라는 함수를 발견하였는데 이 함수를 적용해도 그대로 find_text에 값이 변환없이
그대로 들어가는 것 같아서 이 부분을 어떻게 처리해야할지 모르겠어서 문의 남깁니다.

또한 브라우저에 url에서 수정 후 접근할 경우, 실행되는 로직이 어느 부분인지도 알고 싶습니다.

SNS google
  • No Image
    1. 회원등급: 일반회원
    2. 작성글: 1개
    3. 작성댓글수: 0개
    4. 로그인: 1회
    5. 접속상태: 로그아웃
    6. 가입일: 2024-02-07
로그인 하시면 댓글을 남길 수 있습니다.
타인의 명예를 훼손 또는 비방, 개인정보 유출 및 광고성 게시물을 삼가해 주세요.
  • (2024.03.17/22:10:14) 답변
  • 1. /data/db_conn/user_dbconn.asp의 inXSS(parameter) 에서 크로스 사이트 스크립팅, SQL 인젝션을 설정하실 수 있습니다.
    적절히 추가하여 사용하시면 됩니다.
    2. 경로는 특별히 redirect를 하지 않고 있습니다.
    따라서, 해당 파일의 소스를 열어보시면 확인 가능하실 것입니다.