팁 & 노하우

  • 목록
  • 아래로
  • 위로

xss 공격 방어 라이브러리

jin****
  • 0
  • jin****
  • 조회 수 2092

흔히 가장 막기 어렵다고 알려진 공격 중 하나가 XSS(cross-site scripting)입니다. 
간단히 소개하자면 게시물의 제목, 내용 등에 <script> 태그를 넣거나 
또는 그와 비슷한 역할을 하는 onmouseover 이벤트 등을 사용하여 임의의 자바스크립트를 실행하는 공격이지요. 
그래서 대부분의 게시판 솔루션들이 정규식을 사용해서 의심스러운 태그를 걸러내고 있지만, 
그것마저 뚫렸다며 급히 패치를 바란다는 공지사항을 종종 보게 되지요. 

그러나 사실 XSS 필터링은 그렇게 어려운게 아닙니다. 발상이 잘못되었기 때문에 어렵게 보이는 것 뿐입니다. 
이 게시판에도 종종 올라오는 XSS 필터링 라이브러리들, 
그리고 대부분의 공개형 게시판 프로그램들이 사용하는 필터링 알고리듬에는 두 가지 치명적인 허점이 있습니다. 

1. 위험한 태그, 속성, 이벤트만 콕콕 찍어 막으려고 하는 blacklisting 기법을 사용한다. 
2. HTML에 오류가 있거나 웹표준에 어긋나는 태그를 사용한 경우를 감안하지 않는다. 



blacklisting은 수많은 태그, 속성, 이벤트들 중 "위험하다고 알려진" 것들만 블랙리스트에 등록해서 
블랙리스트에 등록된 태그, 속성, 이벤트만 지우고, 나머지는 모두 허용해주는 방법입니다. 
만약 HTML5처럼 새로운 태그나 속성이 생기면 블랙리스트에 아직 없으니 모두 허용해 버리게 됩니다. 
만약 사용하기에 따라 위험할 수도 있는 속성이 블랙리스트에서 빠졌다면 그것도 허용해 버리게 됩니다. 
무엇이 허용되는지조차 분명하지 않으니 자나깨나 땜빵하느라 고생이 많습니다. 

반면, "안전하다고 증명된" 태그, 속성, 이벤트만 화이트리스트(블랙리스트의 반댓말)에 등록해서 
리스트에 등록된 것들만 허용하고 나머지는 죄다 없애버리는 whitelisting 기법을 사용한다면 
새로운 태그나 속성이 추가되더라도 걱정이 없습니다. 



HTML 오류에 신경쓰지 않는 필터링 라이브러리도 문제입니다. 
대부분의 필터링 라이브러리들은 정규식을 사용해서 태그를 걸러내는데, 
중간에 널바이트 또는 공백이 끼어 정규식에 잡히지 않는 엉터리 HTML도 
대부분의 브라우저들은 아무 일 없다는 듯 실행해 주고 있는 것이 현실입니다. 
onmouseover 이벤트는 걸렀지만 on\0mouseover 이벤트는 거르지 못하고, 
javascript: 링크는 잡았지만 java  script: 링크는 잡지 못하는 거죠. 
심지어는 이런 것도 있습니다: <img """><script>alert("XSS")</script>"> 

위와 같은 문제를 해결하려면 태그가 잘못된 것도 걸러내줘야 합니다. 
예를 들어 <img> 태그에 src 속성 대신 스크립트가 들어가 있으면 막아야 하는 거죠. 
잘못된 태그를 다 걸러내주면 짝 없는 <div> 태그 때문에 홈페이지 레이아웃이 깨지는 것도 막을 수 있습니다. 



HTML Purifier는 해외의 보안 전문가들로부터 철저하게 검증받은 필터링 라이브러리입니다. 
whitelisting 기법을 사용하고, 잘못된 태그도 확실하게 걸러내줍니다. 
이걸 사용하면 앞으로 아주 오랫동안 XSS 취약점 걱정은 하지 않아도 됩니다. 
http://htmlpurifier.org/ 

아래의 참고소스 란에 사용방법 예제를 넣었더니 내용이 많아서 그런지, 잘려서 나오네요. 
다른 곳에 올려놓았으니 참고하세요. https://gist.github.com/kijin/5829736 

주의사항: 

1. HTML 소스를 완전히 분해한 후, 안전하다고 검증된 태그, 속성, 이벤트만 다시 조합하여 
안전하고 오류 없는 소스를 생성해 주는 라이브러리입니다. 그만큼 처리속도가 느리다는 점 기억하시고, 
게시물 컨텐츠처럼 반드시 HTML이 필요한 경우에만 사용하세요. 
게시물 제목이나 댓글처럼 HTML이 필요없는 경우 그냥 htmlspecialchars 또는 strip_tags 사용. 
또한 페이지 표시할 때마다 매번 필터링하지 말고, DB에 저장하기 전에 한 번만 필터링하세요. 

2. 문법에 어긋나는 태그는 가차없이 제거하므로, HTML 소스가 아주 심하게 망가져있는 경우 주의하세요. 

3. 첨부파일 업로드를 사용한 XSS 공격은 게시물 내용과 별도로 막아주셔야 합니다. 
    http://www.phpschool.com/link/tipntech/78863 

iframe 동영상 허용 리스트는 이 게시판에 얼마전 레어닉님이 올려주신 라이브러리를 참고했습니다. 
http://www.phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=76911 

 

댓글 0

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 [작업 완료] 설 명절 맞이 서버 업데이트 안내 3 마스터 마스터 24.02.11.17:21 719
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 마스터 23.01.14.02:23 4391
526 개인용 vs 기업용 라이선스에 대해 11 이니스프리 이니스프리 20.05.05.12:18 5425
525 KT 인터넷 오피스 IP 서비스 - 홈 서버용 고정 IP 제공 9 file 이니스프리 이니스프리 18.03.20.22:04 4692
524 대학생이라면 PHPStorm 무료로 이용하세요 2 image Eagles Eagles 17.06.11.14:30 4685
523 [Python] 동영상 파일의 재생시간 길이를 구하기 (OpenCV vs MoviePy) 이니스프리 이니스프리 21.03.12.22:33 4638
522 [Selenium] alert 창을 닫는 방법 및 alert 창이 뜨는 것을 차단하는 방법 1 이니스프리 이니스프리 19.12.26.23:01 4574
521 [파이썬] .isalnum() - 정규표현식을 사용하지 않고 문자열 내 특수문자 사용 여부 확인 이니스프리 이니스프리 19.12.27.22:43 4446
520 Selenium에서 파일을 다운받을 폴더를 지정하기 이니스프리 이니스프리 19.11.18.22:15 4334
519 [끝말잇기] '슘'으로 시작하는 단어 이니스프리 이니스프리 19.08.20.01:10 4303
518 [CMD] 작업 스케줄러에서 Batch 파일을 최소화한 상태로 실행하기 1 이니스프리 이니스프리 20.05.13.23:15 4130
517 [Python] 특정 단어가 들어가는 폴더 또는 파일을 옮기기 이니스프리 이니스프리 20.11.01.14:14 3922
516 SKT 데이터 함께 쓰기, 회선수 제한, 직구폰 개통, 아이폰 직구시 주의사항 등 관련 팁 2 이니스프리 이니스프리 17.11.23.20:58 3892
515 작업 관리자의 CPU 이름 바꾸기 1 image 하루살이 title: 황금 서버 (30일)하루살이 17.09.03.11:33 3821
514 텔레그램 봇의 프로필 이미지를 변경하는 방법 이니스프리 이니스프리 19.11.28.16:33 3692
513 유튜브 단축키를 정리해봤습니다 (+이스터 에그) 2 이니스프리 이니스프리 18.09.26.23:34 3503
512 텔레그램(Telegram)의 보안 및 안전성에 대하여 (기술 내외적 요소를 고려) 이니스프리 이니스프리 18.11.21.21:35 3374
511 특정 파일을 제외한 현재 디렉토리 내의 모든 파일을 삭제하는 배치파일 이니스프리 이니스프리 18.10.12.17:11 3167
510 직구나 프로그램 다운로드시 사용 가능한 무료 해외 SMS 수신 사이트 8 이니스프리 이니스프리 17.12.09.14:50 3053
509 활성 네트워크 이름 바꾸기 1 image 하루살이 title: 황금 서버 (30일)하루살이 17.09.03.11:36 2884
508 Tesseract에서 숫자만 인식하는 방법 이니스프리 이니스프리 19.11.16.14:48 2882
507 파이썬에서 실행한 결과를 PHP에서 받는 방법 이니스프리 이니스프리 19.08.21.21:25 2882

검색