xss (1) 썸네일형 리스트형 XSS 패치 작업에서 놓치기 쉬운 것들 최근 알고 지내던 업체의 요청으로 XSS 취약점 패치 작업을 진행했습니다. 일회성 핫픽스가 아니라 근본적으로 코드베이스를 분석하고 문제를 막는 방향으로 작업을 진행했습니다. 서비스를 개발하다 보면 XSS 취약점 패치 작업을 마주하게 됩니다. 처음에는 단순한 시큐어 코딩 작업이라고 생각하기 쉽습니다. 취약한 입력값을 이스케이프 처리하고, 위험한 태그를 필터링하면 끝나는 작업처럼 보입니다. 그런데 공격자의 관점에서 바라보면 개발자 입장에서 쉽게 놓칠 수 있는 부분들이 추가로 눈에 들어옵니다.XSS는 크게 Stored XSS(저장형), Reflected XSS(반사형), DOM-based XSS(DOM 기반) 세 가지로 나뉩니다. 각각 발생하는 시점과 경로가 다르기 때문에 패치 방식도 달라집니다. Stored.. 이전 1 다음