amin.lib.php XSS 체크 스킵
본문
영카트 itemformupdate.php 로 post해서 상품을 올리려 하는데, 데이터값에 html 구문을 넣었더니 요청 쿼리에 잘못된 스크립트문장이 있습니다.\nXSS 공격일수도 있습니다.
가 뜨는군요 itemformupdate.php를 통한 구문은 잡지않게 수정할 방법이 없을까요?
답변 3
이미지 파일을 첨부하는게 아니라 다른 서버 이미지를 링크해서 쓰시려는거라면 src 값만 따로 받아서 처리하시면 되지 않을까요. 질문이 포괄적이라 구체적인 상황이해가 안돼서 왜 이미지 태그를 넣으시는건지 궁금하네요.
상품등록 테이블에 여분필드가 아마 있을거에요. 그 부분에 넣으시면 될듯.
post 로 넘기는 값에 스크립트등을 포함 할수 없습니다.
요청 쿼리에 잘못된 스크립트문장이 있습니다.\\nXSS 공격일수도 있습니다.
이 메시지는
referer 값이 없을 때 또는 관리자 경로가 아닌 다른 경로에서 요청 했을때 나오는 메시지입니다.
referer 값이 아예 없으면 100% 무조건 위의 메시지가 나옵니다.
예를 들어 도메인이 http://abcd.com 이라고 가정하면
오류나는 예)
1. referer 값이 없음
2. http://abcd.com/블라블라/어떤파일또는경로(referer 값이) -> http://abcd.com/관리자폴더/shop_admin/itemformupdate.php 으로 post 요청시
오류가안나는 예)
1. referer 값이 http://abcd.com/관리자폴더/어떤파일또는경로 -> http://abcd.com/관리자폴더/shop_admin/itemformupdate.php 으로 post 요청시
referer 값을 체크하여 관리자폴더에서 요청할 경우에만 요청을 받습니다. 그 외 조건에는 요청 쿼리에 잘못된 스크립트문장이 있습니다.\\nXSS 공격일수도 있습니다. <<< 이렇게 메시지가 나오며 튕겨버립니다.
referer 값을 어떻게 받아오는지 체크해야 합니다.
referer 값은 브라우저나 서버설정에서 빈값으로 설정이 가능하니, referer 값이 없다면 다른 브라우저로 테스트 하거나 서버설정을 잘 확인해 봐야 합니다.