Information Security

Cross Site Scripting - View 컴포넌트 내에서 악성 스크립트 입력을 통해 각종 악의적인 행동을 할 수 있는 취약점 영향 주요 정보 유출 또는 DoS 등의 피해가 발생할 수 있는 취약점 진단 스크립트를 실행시켰다. Hello! I am inside a UIWebView! 문구가 나타났다. document.location=’tel://01012345678’ 스크립트를 실행시켰다. 통화 버튼 누르면 번호로 통화 기능이 동작했다. 대응방안 클라이언트 측 어플리케이션에서 사용자 입력 값에 대한 유효성 검사를 실시해야 하며, 입력 값에 따른 동작 로직에 따른 대응이 필요하다.

Cross Site Scripting - 악성 스크립트를 삽입하여 공격하는 취약점이다. 위치 iGoat\Cross Site Scripting\ CrossSiteScriptingExerciseViewController.m 영향 사용자의 정보를 탈취하거나 비정상적인 기능을 수행하게 할 수 있다. 진단 Cross Site Scripting 문제에서 스크립트 공격을 시도했다. 그림 11-1처럼 스크립트 공격을 시도한 결과 Welcome to XSS Exercise 메시지를 보여준다. 대응방안 불필요한 태그는 사용하지 않는게 좋다.