XSS 기본 방어 방법

이번에는 XSS공격에 대하여 몇자 적어 봅니다.

Cross Site Scripting은 웹사이트에 접속한 사용자가 공격의 대상이 되는 기법으로, 사용자의 입력 값에 악의적인 Javascript code를 삽입하여 웹 페이지를 로드 함으로 현재 페이지를 열람하는 사용자에게 스크립트를 실행시키도록 하는 것입니다. 그러므로 사용자의 입력을 받는 모든 사이트에서 XSS공격이 일어날 가능성이 있습니다. 특히 다음과 같은 상황에서 자주 발생합니다.

1. 검색할 단어를 입력하는 Input 영역에서 검색단어를 입력한 후, 검색 결과와 함께 입력한 검색 키워드를 다시 보여주는 경우

2. 사용자 입력 폼에 입력한 내용들을 다시 출력하는 경우

3. 게시판에서 쓴 내용들을 열람하는 경우

공격자는 XSS를 통해서 사용자의 쿠키를 변경하거나 탈취할 수 있으며 정상적인 사용자에 대해서 잘못된 정보를 보내줄 수도 있습니다. 이러한 XSS는 최근 Phishing기법에 많이 사용되는데 악의적인 사용자가 변조된 입력 폼을 제공함으로 다른 사용자의 정보가 노출되고 있습니다. 또한 자바 스크립트 코드뿐만 아니라 object들을 사용자의 브라우저상에서 실행시킴으로 광고팝업이나 브라우저를 변조할 수 있습니다.

XSS 공격을 방어하는 가장 좋은 방법은 어플리케이션이 모든 header 들, cookie, query string, form field, hidden field (예를 들면, 모든 parameter 들) 에 대해 유효성 검사를 실시하는 것입니다. 사용자의 입력이 화면에 출력되어 나오는 경우, 사용자의 입력 값을 HTML Entity로 변환시켜야만 합니다. 또한 위의 태그들을 HTML으로 인식시키지 않기 위해 스크립트에서는 함수를 지원합니다. 그리고 공개 게시판의 경우, HTML 형식을 지원하는 경우 XSS의 잠재적인 위험성이 존재하므로, 이를 중지할 필요가 있습니다.

기본 대책

(1) ASP Script

사용자의 입력에 대해 Server.HTMLEncode함수를 사용하여 HTML태그를 비활성화 시킵니다.

‘ Server.HTMLEncode함수를 사용하여 HTML태그를 변환합니다.

<%= Server.HTMLEncode(“<script>alert(“XSS Test”);<script>”) %>

‘ 위의 결과 tag들이 비활성화 됩니다.

(2) JSP Script

HTML코드의 시작을 알리는 ‘<’ 에 대해서 &lt; 으로 변환시키는 방법입니다.

/% less than (<) character 를 &lt; 으로 변환시킵니다. %/

String userInput = request.getParameter(“keyword”);

user_input = user_input.replaceAll(“’”, “\’”);

(3) PHP Script

PHP의 내장함수 가운데 입력 문자열에 대해서 HTML코드를 변환시켜주는 htmlentities()를 사용하여 XSS를 막습니다.

<?

$str = "A 'quote' is <b>bold</b>";

echo htmlentities($str);

// 출력: A 'quote' is &lt;b&gt;bold&lt;/b&gt;

?>

이것또한 간단 하게 기본적인 부분만 처리 해주어도 상당부분 방어가 가능합니다.

조금 귀찮더라도 이정도 처리는 해주어야 하지 않을까 합니다.

[출처] Cross Site Scripting에 대하여 (XSS)|작성자 이건혁