XSS의 허점 공격과 대응

XSS

• 공격

• <scripT   > alert("hello")</script>
• 공격성공 1) 공백 2) 대소문자
• 공백과 대소문자가 있어도 악성스크립트는 실행됨

• 대응

• str_place("<script>") ---> ("<script")
• str_tolwer =>대소문자 구별없이 차단

             =>Black List

• 오탐지

• Black List

                     ; 허점이 뚫림 -> 막아 x반복 =>한계가 있음

• Keyword
• 공격 ; <script>
• 대응 ; replace    => <script lang=jvscript>로 공격
• Regular Expression
• 공격 ; <scripT  >.......;</script>
• 대응 ; $b_contents=preg_replace('#<script.*</script>#is'.'.$b_contents);

• White List

                    ; 폐쇄적인 통신

• 버퍼 오버플로우 ; Apache 자체를 해킹
• Code Level ; Logic- 침투테스트결과를 참고하여 코드개선

2018-10-31