Cross Site Scripting

Cross Site Scripting

- View 컴포넌트 내에서 악성 스크립트 입력을 통해 각종 악의적인 행동을 할 수 있는 취약점

 

영향

주요 정보 유출 또는 DoS 등의 피해가 발생할 수 있는 취약점

 

진단

<script>alert(“hello”)</script> 스크립트를 실행시켰다.

그림 10-1 스크립트 

Hello! I am inside a UIWebView! 문구가 나타났다.

그림 10-2 Hello 문구

<script>document.location=’tel://01012345678’ 스크립트를 실행시켰다. 통화 버튼 누르면 번호로 통화 기능이 동작했다.

그림 10-3 전화번호 스크립트

대응방안

클라이언트 측 어플리케이션에서 사용자 입력 값에 대한 유효성 검사를 실시해야 하며, 입력 값에 따른 동작 로직에 따른 대응이 필요하다.