CI 묻고 답하기

제목 ci 를 xss 보안 점검툴로 돌리면 게속 걸립니다.
글쓴이 영등포 작성시각 2015/12/03 18:36:48
댓글 : 2 추천 : 0 스크랩 : 0 조회수 : 20384   RSS
ci관련 질문드립니다
사이트를 netsparker 이라는 웹점검툴로 돌려보았는데
계속 cross-site Scripting 로해서 계속 걸리는게 있습니다.

계속 오류보고서에
Cross-site Scripting
url :http://www.test.co.kr/board/list/search_val/search_key/ard/notice/status/page/date_status/
parametername : serch_key
parametertype : post
attackpattern : ' stYle=x:expre/**/ssion(alert(9)) ns=' 
요로케 나오는데
ci에서 할수잇는건 다햇는데도 게속 걸립니다.
직접
요것도 왕창넣어보앗고
$CI->security->xss_clean(trim(htmlentities(strip_tags($CI->input->post($list,true)))));
요것도해놓앗고
$config['global_xss_filtering'] = TRUE;
직접xss함수만들어서도 해보았고 
..
직접 필드에서
' stYle=x:expre/**/ssion(alert(9)) ns=' 이거넣으면
요로케 변환되는것도 확인하였는데...

' style=x:expre/**/ssion(alert(9)) ns='
그런데도 계속 걸립니다....
왜그런걸가요...
netsparker 이툴이 그래도 좀 알아주는건데도...왜게속이런걸가요...이게 통과되어야지
업체도 인정해준다고하는데..ㅠㅠ





 
 다음글 세션초기화문제 (1)
 이전글 pagination 관련 질문입니다. (5)

댓글

kaido / 2015/12/03 18:42:35 / 추천 0
필터 패턴에 걸리는것이 없네요.

그리고 몇 년전 기법이군요 style에 감아서 먹이는 공격법..

저건 패턴을 좀더 추가 해야 될것 같습니다.

다만 style 까지 통으로 막으면 웹에디터는 버리는 셈이니..
단어 단위로 추가로 막어야 합니다.

xss 필터 라이브러리 htmlpurifier 한번 테스트해 보세요.
 
영등포 / 2015/12/07 14:05:44 / 추천 0
htmlpurifier 로 테스트해보앗는데 마찬가지로 걸리네요..ㅠㅠ
패턴을 추가하려면 어떤걸 추가해야할가요