크로스 사이트 스크립트(XS)

크로스 사이트 스크립트(XS)

 

- 검증되지 않은 입력 값으로 인해 사용자의 웹 브라우저에서 의도하지 않은 악성 스크립트가 실행되는 취약점이다. 서버를 공격하는 게 아니라 서버를 경유해 클라이언트를 공격하는 것이다.

 

판단기준

 

양호 :  특수문자 및 XSS 검증 로직&필터링 존재

취약 : 특수문자 및 XSS 검증 로직&필터링 존재X, HTML 입력, 실행O

 

크로스 사이트 스크립트 대응방안

 

- 사용자 입력 값은 반드시 서버단에서 검증

- 문자열 특수 기호등을 치환하여 저장

- 게시판 등에서 HTML태그 허용시 안전한 태그의 리스트를 선정한 후 해당 태그만 허용