SECISSUE homepage필드를 이용한 XSS 공격 방어

[khongchi]

비로그인 사용자가 닉네임, 비밀번호, 홈페이지를 직접 입력하여 게시글을 등록할 때,
홈페이지 필드를 이용한 XSS 공격에 취약함. 이를 개선할 필요가 있음

[bjrambo]

@kijin 이이슈와 비슷한 xss공격이슈가 올라왔기때문에 확장변수에도 적용한것입니다. 해당 ㅇㅣ슈링크는 보안관련상 제외하죠

[bjrambo]

@kijin

관련이슈를 대충남겼던 내용을 바탕으로 확장변수에 적용하는것이 필요하다는것이 제 생각이였습니다.
1619번이슈라고 잡혀있는곳을 보시면됩니다 본문내용은 현제 삭제되었습니다

[kijin]

불필요한 노출을 피하기 위해 오래된 관련이슈에 댓글을 다신 거겠죠? ㅎㅎ

아무튼 removeHackTag()는 HTMLPurifier에 의존하기 때문에 상당히 무거운 함수입니다. 최초 1회 저장할 때 적용하는 것은 괜찮지만, 확장변수에 적용한다면 페이지 로딩속도에 큰 영향을 줄 수 있습니다. 가능하면 여기에 의존하지 않고 strip_tags(), str_replace(), 정규식 등 좀더 가벼운 방법으로 필터링하는 방법을 찾아보시는 것이 좋겠습니다.

[bjrambo]

@kijin 하핫 ! 그럿군요. 테스트환경에서 등록시 큰느림현상이나 오류가 크게없어 그렇게 한것인데 음 정규식은ㅜㅜ 아직 저에겐 어려워 있는함수를 사용하는것이.. 그리고 해당함수가 보충코드가들어가도 추후변경점에 있어서는큰문제가 없다는 판단을 했습니다.. 하핫..

[kijin]

만약 기존의 htmlspecialchars() 함수로 걸러지지 않는 것이 있다면 예제를 보여주세요 ^^;

[bjrambo]

@kijin 저는 일단 해당이슈의 본문을 완벽하게 파악은 못했습니다 해당 이슈에서 재현의 관한이슈가 삭제된상황에서 스크립트가 재현되어 이슈가등록됬다 판단하고, 해당 이 이슈를참고하여 확장변수에도 적용했기때문입니다ㅜㅜ

[kijin]

이미 보안이슈는 메일로 보내달라고 안내를 드렸고, 커미터분들도 이 이슈를 보고 계실 테니 메일 받으시면 적당히 처리해 주실 거라고 믿고 이만 접어둘게요.

[bjrambo]

네 부족한 코드 리뷰해주셔서 감사합니다