Categories: IT

XSS (Cross-Site Scripting)

XSS는 공격자가 웹 페이지에 악성 스크립트를 삽입하여 다른 사용자의 정보를 탈취하는 기법입니다.

예제

다음은 XSS 공격에 취약한 댓글 폼 예제입니다.

<!DOCTYPE html>
<html lang="ko">
<head>
    <meta charset="UTF-8">
    <title>댓글 폼</title>
</head>
<body>
    <h2>댓글 작성</h2>
    <form method="POST" action="comment.php">
        이름: <input type="text" name="name"><br>
        댓글: <textarea name="comment"></textarea><br>
        <input type="submit" value="댓글 작성">
    </form>

    <h2>댓글 목록</h2>
    <div id="comments">
        <?php
        $comments = file_get_contents('comments.txt');
        echo $comments;
        ?>
    </div>
</body>
</html>

php 예제

<?php
$name = $_POST['name'];
$comment = $_POST['comment'];

file_put_contents('comments.txt', "<p><strong>$name:</strong> $comment</p>", FILE_APPEND);

header('Location: index.html');
?>

사용자가 <script>alert('XSS');</script>와 같은 값을 입력하면 XSS 공격이 발생할 수 있습니다.

방어

XSS를 방어하기 위해 사용자 입력을 적절히 이스케이프 처리합니다.

<?php
$name = htmlspecialchars($_POST['name'], ENT_QUOTES, 'UTF-8');
$comment = htmlspecialchars($_POST['comment'], ENT_QUOTES, 'UTF-8');

file_put_contents('comments.txt', "<p><strong>$name:</strong> $comment</p>", FILE_APPEND);

header('Location: index.html');
?>

yuunaa

Leave a Comment
Share
Published by
yuunaa
5개월 ago

Recent Posts

드림핵 워게임

드림핵 php7cmp4re php7.4로 작성됐다고 명시되어있어서 google에 php7.4취약점 먼저 찾아봤지만 구글에는 침투목적 밖에 안보여서 php 메뉴얼을…

3개월 ago

라스트포트리스 출석체크 프로그램

LFU : Last Fotress Underground - 라스트포트리스 홈페이지 출석 체크 로그인 하기 귀찮아서 제작 패키지…

5개월 ago

OWASP Top 10: 웹 애플리케이션 보안의 필수 요소

OWASP(오픈 웹 애플리케이션 보안 프로젝트)는 웹 애플리케이션 보안에 대한 정보를 제공하는 비영리 단체입니다. OWASP는 주기적으로…

5개월 ago

SQL 인젝션

SQL 인젝션은 웹 애플리케이션의 데이터베이스에 악의적인 SQL 코드를 삽입하여 데이터베이스를 공격하는 기법입니다. 이는 가장 흔하고…

5개월 ago

점프 게임

시작 누르기도전에 시작 되고 장애물 추가가 되지 않음 html return parseInt(aTime[0]) * 60 + parseInt(aTime[1])…

5개월 ago

테스트 간단 게임

<!DOCTYPE html> <html lang="ko"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>퀴즈 게임</title> <style> body…

5개월 ago