SXSS 취약점이 악용되기 전에 이를 인식하고 완화하세요
루크 해리슨 저
이 기사는 원래 IBM Developer에 게시되었습니다.
현재 많은 애플리케이션은 웹사이트에서 HTML의 서식 있는 텍스트를 렌더링해야 합니다. 사용자 입력에서 이러한 형식의 텍스트를 생성하기 위해 개발자는 서식 있는 텍스트 편집기 구성 요소를 사용합니다. 문제? 이 기능은 애플리케이션과 데이터 모두 SXSS(저장된 교차 사이트 스크립팅)라는 취약점에 간접적으로 노출될 수 있습니다.
이 기사에서는 SXSS 취약점이 무엇인지 알아보고 애플리케이션이 영향을 받는지 확인하는 데 사용할 수 있는 몇 가지 "코드 냄새"를 검토합니다. 또한 취약한 애플리케이션의 예를 확인하고 이 취약성에 대한 해결 전략을 배우게 됩니다.
저장된 교차 사이트 스크립팅이란 무엇입니까?
저장된 교차 사이트 스크립팅은 공격자가 데이터베이스에 악성 코드를 삽입하기 위해 악용할 수 있는 일종의 취약점입니다. 그런 다음 해당 코드는 프런트엔드 프레임워크에서 가져와 렌더링한 후 피해자의 브라우저에서 실행됩니다.
이 취약점은 공격자가 쿠키를 훔치거나, 리디렉션을 실행하거나, 피해자의 브라우저에서 다양한 위험한 스크립트를 실행할 수 있기 때문에 매우 위험합니다. 익스플로잇을 전파하는 데 공격자는 거의 작업이 필요하지 않습니다. 피해자는 악의적인 링크를 클릭하거나 피싱 사기에 빠질 필요가 없으며 SXSS의 영향을 받는 신뢰할 수 있는 사이트를 사용하기만 하면 됩니다. 크로스 사이트 스크립팅 취약점에 대한 자세한 내용은 페이지 하단의 링크를 확인하세요.
코드 냄새: innerHTML 및 위험하게SetInnerHTML
코드 냄새는 더 깊은 문제를 나타내는 코드의 특성일 뿐입니다. 브라우저는 일반적으로 삽입된 스크립트를 자동으로 실행하지 않지만, 개발자가 잠재적으로 위험한 브라우저 API 또는 요소 속성을 사용하는 경우 스크립트가 실행 실행되는 상황이 발생할 수 있습니다.
다음 코드 조각을 살펴보세요.
const someHTML = “<h1 id="Hello-world">Hello world</h1>“
const output = document.getElementById("rich-text-output");
output.innerHTML = someHTML
이 예에서는 일부 HTML을 변수에 저장하고 DOM에서 요소를 가져온 다음 해당 요소의 innerHTML 속성을 변수에 저장된 콘텐츠로 설정합니다. innerHTML 속성은 다른 HTML 요소 내부의 문자열에서 HTML을 렌더링하는 데 사용할 수 있습니다.
이 속성의 위험한 점은 전달된 모든 HTML 또는 JavaScript를 렌더링한다는 것입니다. 즉, 누군가 속성에 전달된 데이터를 제어할 수 있다면 기술적으로 사용자 브라우저에서 모든 JavaScript를 실행할 수 있다는 의미입니다.
브라우저에서 동적 HTML을 렌더링하는 또 다른 인기 있지만 위험한 방법은 위험하게SetInnerHTML React 구성 요소 속성을 사용하는 것입니다. 이 속성은 바닐라 JavaScript 및 HTML의 innerHTML 속성과 정확히 동일한 방식으로 작동합니다.
다음 예는 React 문서에 나타납니다.
const someHTML = “<h1 id="Hello-world">Hello world</h1>“
const output = document.getElementById("rich-text-output");
output.innerHTML = someHTML
현재 프런트 엔드 웹 애플리케이션에서 이러한 속성 중 하나를 사용하고 있다면 일종의 교차 사이트 스크립팅 취약점이 있을 가능성이 높습니다. 이 문서의 뒷부분에서 이러한 속성을 어떻게 활용할 수 있는지, 그리고 이러한 문제를 해결하기 위해 취할 수 있는 몇 가지 단계를 살펴보겠습니다.
코드 냄새: 리치 텍스트 편집기
귀하의 애플리케이션이 SXSS에 취약할 수 있다는 또 다른 징후는 TinyMCE 또는 CKEditor와 같은 서식 있는 텍스트 편집기를 사용하고 있는지 여부입니다.
대부분의 서식 있는 텍스트 편집기는 사용자가 생성한 서식 있는 텍스트를 HTML로 변환하는 방식으로 작동합니다. 추가 보안 조치로 이러한 편집자 중 다수는 잠재적인 악성 JavaScript를 입력에서 제거하기 위해 일종의 삭제 처리를 사용합니다. 그러나 서식 있는 텍스트 콘텐츠를 수신하고 저장하는 서비스에 이와 동일한 삭제 기술을 적용하지 않으면 애플리케이션이 SXSS에 취약해질 가능성이 높습니다.
자신의 사이트에서 콘텐츠를 렌더링하지 않더라도 렌더링하는 애플리케이션에서 이 데이터를 사용할 가능성이 높습니다. 안전한 애플리케이션을 설계하려면 현재와 미래의 데이터 소비자를 고려하는 것이 매우 중요합니다. 귀하의 데이터가 SXSS의 영향을 받는다면 귀하의 데이터를 소비하는 모든 애플리케이션도 마찬가지입니다.
SXSS 취약점이 있는 애플리케이션 예시
SXSS 취약점이 있는 웹 애플리케이션의 작은 예를 살펴보고 이를 악용해 보겠습니다.
이 애플리케이션을 실행하려면 먼저 이 데모 앱 저장소를 복제하고 readme.md 파일의 "애플리케이션 실행" 지침을 따르세요.
애플리케이션을 실행하고 http://localhost:3000/unsanitized.html로 이동하면 다음과 같은 페이지가 표시됩니다.
이 애플리케이션은 사용자로부터 서식 있는 텍스트 입력을 받아 웹 서버에 저장한 다음 출력 섹션에 렌더링합니다.
SXSS 취약점을 악용하기 전에 잠시 시간을 내어 애플리케이션을 살펴보세요. 위에서 언급한 코드 냄새를 참고하여 코드를 스캔하여 문제가 있는 부분을 찾아보세요. 브라우저에서 네트워크 탭을 열고 서식 있는 텍스트를 입력하고 제출할 때 전송되는 요청을 확인하세요.
unsanitzed.html 파일에는 renderPostByID라는 다음 함수가 표시됩니다.
const someHTML = “<h1 id="Hello-world">Hello world</h1>“
const output = document.getElementById("rich-text-output");
output.innerHTML = someHTML
이 기능을 주의 깊게 살펴보세요. 앞서 언급한 innerHTML 속성을 사용하여 API에서 HTML 형식으로 가져온 일부 서식 있는 텍스트를 렌더링하고 있음을 알 수 있습니다.
이제 코드의 취약한 부분을 확인했으니 활용해 보겠습니다. 서식 있는 텍스트 편집기 입력을 우회하고 게시물을 웹 서버에 직접 저장하는 API 엔드포인트를 실행하겠습니다. 이렇게 하려면 다음 cURL 명령을 사용할 수 있습니다.
function createMarkup() {
return {__html: 'First · Second'};
}
function MyComponent() {
return <div dangerouslysetinnerhtml="{createMarkup()}"></div>;
}
요청에서 보내는 데이터 페이로드를 확인하세요. 이는 경고 대화 상자를 표시하는 일부 JavaScript로 설정된 onerror 속성이 있는 이미지 태그를 포함하는 악의적으로 제작된 HTML입니다. 공격자는 데이터베이스에 저장되기 전에 HTML 요소에서 JavaScript를 제거하는 것을 목표로 하는 제대로 구현되지 않은 삭제 방법을 피하기 위해 이와 같은 트릭을 사용합니다.
위 스크립트를 실행하면 다음과 같은 게시물 ID를 받게 됩니다.
const renderPostByID = async (id) => {
// setting url seach params
let newURL = window.location.protocol + "//" + window.location.host + window.location.pathname + `?post=${id}`;
window.history.pushState({ path: newURL }, "", newURL);
// getting rich text by post id
let response = await fetch(`/unsanitized/${id}`, { method: "GET" });
let responseJSON = await response.json();
console.log(responseJSON);
// rendering rich text
output.innerHTML = responseJSON.richText;
};
이 게시물 ID를 게시물 URL 쿼리 매개변수에 붙여넣고 Enter를 누르세요.
이 작업을 수행하면 사이트가 실제로 SXSS에 취약하다는 것을 확인하는 경고 대화 상자가 화면에 표시됩니다.
SXSS를 방지하는 방법
이제 SXSS 취약점을 악용하는 방법을 살펴보았으니 이제 SXSS 취약점을 교정할 수 있는 방법을 살펴보겠습니다. 이렇게 하려면 다음 세 가지 위치에서 HTML 기반 서식 있는 텍스트를 삭제해야 합니다.
- 서버측, 콘텐츠가 데이터베이스에 저장되기 전
- 서버 측, 데이터베이스에서 콘텐츠를 검색할 때.
- 클라이언트 측, 브라우저에서 콘텐츠를 렌더링하는 경우
콘텐츠를 데이터베이스에 저장하기 전과 클라이언트 측에서 렌더링할 때 콘텐츠를 삭제하려는 이유는 분명할 수 있지만, 검색할 때는 왜 삭제합니까? 글쎄, 누군가가 콘텐츠를 데이터베이스에 직접 삽입하는 데 필요한 권한을 얻는다고 가정해 보겠습니다. 이제 그들은 초기 새니타이저를 완전히 우회하여 악의적으로 제작된 일부 HTML을 직접 삽입할 수 있습니다. API 중 하나의 소비자가 클라이언트 측에서도 이러한 삭제를 구현하지 않는 경우 교차 사이트 스크립팅 악용의 희생양이 될 수 있습니다.
그러나 세 위치 모두에 삭제 처리를 추가하면 성능 저하가 발생할 수 있으므로 이 수준의 보안이 필요한지 스스로 결정해야 합니다. 최소한 동적 HTML 콘텐츠를 렌더링하기 전에 클라이언트 측의 모든 데이터를 삭제해야 합니다.
취약한 애플리케이션의 보안 버전에서 삭제를 구현하는 방법을 살펴보겠습니다. 이 애플리케이션은 주로 JavaScript를 사용하여 작성되었으므로 클라이언트 측에는 dompurify 라이브러리를 사용하고 서버 측 삭제에는 isomorphic-dompurify 라이브러리를 사용합니다. 웹 서버 역할을 하는 app.js 프로그램에서 GET 및 POST 구현으로 삭제된 익스프레스 엔드포인트를 찾을 수 있습니다.
const someHTML = “<h1 id="Hello-world">Hello world</h1>“
const output = document.getElementById("rich-text-output");
output.innerHTML = someHTML
POST 구현에서는 먼저 요청 본문에서 서식 있는 텍스트를 검색한 다음 데이터 객체에 저장하기 전에 isomorphic-dompurify 라이브러리의 sanitize 메서드를 호출합니다. 마찬가지로 GET 구현에서는 데이터 개체에서 서식 있는 텍스트를 검색한 후 소비자에게 보내기 전에 서식 있는 텍스트에 대해 동일한 메서드를 호출합니다.
클라이언트 측에서는 sanitized.html에서 출력 div의 innerHTML 속성을 설정하기 전에 이와 동일한 방법을 다시 사용합니다.
function createMarkup() {
return {__html: 'First · Second'};
}
function MyComponent() {
return <div dangerouslysetinnerhtml="{createMarkup()}"></div>;
}
교차 사이트 스크립팅을 방지하기 위해 HTML을 적절하게 삭제하는 방법을 살펴보았으므로 이제 이 애플리케이션의 원래 공격으로 돌아가 이번에는 삭제된 엔드포인트를 사용하여 다시 실행하세요. 이제 SXSS 취약점을 방지하기 위해 적절한 기술을 사용하고 있으므로 더 이상 경고 대화 상자 팝업이 표시되지 않습니다.
XSS 예방을 위한 모범 사례와 기타 기술을 포함한 전체 SXSS 가이드를 보려면 OWASP 교차 사이트 스크립팅 치트 시트를 살펴보세요.
요약 및 다음 단계
이 기사에서는 일반적인 유형의 웹 애플리케이션 취약점인 저장된 교차 사이트 스크립팅을 방지하여 애플리케이션 보안 상태를 강화할 수 있는 방법을 살펴보았습니다. 이제 자신의 애플리케이션이 취약한지 여부, 검토해야 할 기능, 악의적인 행위자가 이러한 취약점을 악용하기 전에 완화하는 방법을 인식할 수 있습니다.
보안은 기업 개발자에게 가장 중요합니다. 다음 리소스를 사용하여 가능한 취약점에 대한 인식과 보안 태세를 개선할 수 있는 방법을 지속적으로 구축하세요.
- IBM 개발자: 보안 허브
- OWASP 크로스 사이트 스크립팅 개요
- 동영상: 크로스 사이트 스크립팅 — 25년 동안 여전히 강세를 보이고 있는 위협
위 내용은 귀하의 서식 있는 텍스트는 크로스 사이트 스크립팅 취약점일 수 있습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
JavaScript로 문자열 문자를 교체하십시오Mar 11, 2025 am 12:07 AMJavaScript 문자열 교체 방법 및 FAQ에 대한 자세한 설명 이 기사는 JavaScript에서 문자열 문자를 대체하는 두 가지 방법 인 내부 JavaScript 코드와 웹 페이지의 내부 HTML을 탐색합니다. JavaScript 코드 내부의 문자열을 교체하십시오 가장 직접적인 방법은 대체 () 메소드를 사용하는 것입니다. str = str.replace ( "find", "replace"); 이 메소드는 첫 번째 일치 만 대체합니다. 모든 경기를 교체하려면 정규 표현식을 사용하고 전역 플래그 g를 추가하십시오. str = str.replace (/fi
자신의 Ajax 웹 응용 프로그램을 구축하십시오Mar 09, 2025 am 12:11 AM그래서 여기 당신은 Ajax라는이 일에 대해 배울 준비가되어 있습니다. 그러나 정확히 무엇입니까? Ajax라는 용어는 역동적이고 대화식 웹 컨텐츠를 만드는 데 사용되는 느슨한 기술 그룹을 나타냅니다. 원래 Jesse J에 의해 만들어진 Ajax라는 용어
내 자신의 JavaScript 라이브러리를 어떻게 작성하고 게시합니까?Mar 18, 2025 pm 03:12 PM기사는 JavaScript 라이브러리 작성, 게시 및 유지 관리, 계획, 개발, 테스트, 문서 및 홍보 전략에 중점을 둡니다.
브라우저에서 성능을 위해 JavaScript 코드를 최적화하려면 어떻게해야합니까?Mar 18, 2025 pm 03:14 PM이 기사는 브라우저에서 JavaScript 성능을 최적화하기위한 전략에 대해 설명하고 실행 시간을 줄이고 페이지로드 속도에 미치는 영향을 최소화하는 데 중점을 둡니다.
브라우저 개발자 도구를 사용하여 JavaScript 코드를 효과적으로 디버그하려면 어떻게해야합니까?Mar 18, 2025 pm 03:16 PM이 기사는 브라우저 개발자 도구를 사용하여 효과적인 JavaScript 디버깅, 중단 점 설정, 콘솔 사용 및 성능 분석에 중점을 둡니다.
jQuery 매트릭스 효과Mar 10, 2025 am 12:52 AM매트릭스 영화 효과를 페이지에 가져 오십시오! 이것은 유명한 영화 "The Matrix"를 기반으로 한 멋진 jQuery 플러그인입니다. 플러그인은 영화에서 클래식 그린 캐릭터 효과를 시뮬레이션하고 사진을 선택하면 플러그인이 숫자로 채워진 매트릭스 스타일 사진으로 변환합니다. 와서 시도해보세요. 매우 흥미 롭습니다! 작동 방식 플러그인은 이미지를 캔버스에로드하고 픽셀 및 색상 값을 읽습니다. data = ctx.getImageData (x, y, settings.grainsize, settings.grainsize) .data 플러그인은 그림의 직사각형 영역을 영리하게 읽고 jQuery를 사용하여 각 영역의 평균 색상을 계산합니다. 그런 다음 사용하십시오
간단한 jQuery 슬라이더를 만드는 방법Mar 11, 2025 am 12:19 AM이 기사에서는 jQuery 라이브러리를 사용하여 간단한 사진 회전 목마를 만들도록 안내합니다. jQuery를 기반으로 구축 된 BXSLIDER 라이브러리를 사용하고 회전 목마를 설정하기위한 많은 구성 옵션을 제공합니다. 요즘 그림 회전 목마는 웹 사이트에서 필수 기능이되었습니다. 한 사진은 천 단어보다 낫습니다! 그림 회전 목마를 사용하기로 결정한 후 다음 질문은 그것을 만드는 방법입니다. 먼저 고품질 고해상도 사진을 수집해야합니다. 다음으로 HTML과 일부 JavaScript 코드를 사용하여 사진 회전 목마를 만들어야합니다. 웹에는 다양한 방식으로 회전 목마를 만드는 데 도움이되는 라이브러리가 많이 있습니다. 오픈 소스 BXSLIDER 라이브러리를 사용할 것입니다. BXSLIDER 라이브러리는 반응 형 디자인을 지원 하므로이 라이브러리로 제작 된 회전 목마는
Angular로 CSV 파일을 업로드하고 다운로드하는 방법Mar 10, 2025 am 01:01 AM데이터 세트는 API 모델 및 다양한 비즈니스 프로세스를 구축하는 데 매우 필수적입니다. 그렇기 때문에 CSV 가져 오기 및 내보내기가 자주 필요한 기능인 이유입니다.이 자습서에서는 각도 내에서 CSV 파일을 다운로드하고 가져 오는 방법을 배웁니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
SublimeText3 영어 버전
권장 사항: Win 버전, 코드 프롬프트 지원!
맨티스BT
Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.
mPDF
mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
SublimeText3 Linux 새 버전
SublimeText3 Linux 최신 버전
