SSI injection (SS)

SSI injection (SS)

 

- SSI은 HTML 페이지에 사용하는 지시어로 페이지를 서비스할 때 서버가 처리한다. 다시 말해 방문자 수, 조회 수 등의 동적인 내용을 추가할 때 사용한다고 보면 된다. 때문에 SSI 을 사용하고 있는 웹사이트는 .shtml파일이 존재한다. 때문에 .shtml파일이 보인다면 SSI을 사용하고 있다는 것을 알 수 있다.

 

판단기준

 

양호 : SSI 인젝션 입력값 검증 O

취약 : SSI 인젝션 입력값 검증 X

 

SSI injection 대응방안

 

- 필터링 함수 사용 ( htmlspecialchars() , addslahes() )