WordPress Plugin Quizlord 2.0 - Cross-Site Scripting

XSS(Cross-Site Scripting)

게시판을 포함한 웹에서 자바스크립트같은 스크립트 언어를 삽입해 개발자가 의도하지 않은 기능을 클라이언트측을 대상으로 하는 공격

 

실습

그림 1-1 처럼 Quizlord 2.0 플러그인을 활성화 시킨다.

그림 1-1 Quizlord 플러그인

그림 1-2 처럼 Add a quiz 메뉴에서 Title 부분에 test"><script>alert(1)</script> 스크립트 구문을 삽입한다.

그림 1-2 스크립트 삽입

그림 1-3처럼 XSS 스크립트 구문이 동작하는 것을 알 수 있다.

그림 1-3 XSS 공격

 

그림 1-4는 Quizlord 소스코드이다. title 부분에 이스케이프 처리하지 않는 것을 알 수 있다.

그림 1-4 Quzilord 소스코드

 

 

대응방안

그림 1-5는 그림 1-4는 다르게 htmlentitles() 함수를 넣어 XSS 필터링을 해줄 수 있다.

그림 1-5 대응방안 소스코드

그림 1-6을 보면 8번 게시물에 XSS 필터링이 되는 것을 알 수 있다.

그림 1-6 XSS 대응방안