1.5 웹 서비스 요청 및 결과 검증

1.5 웹 서비스 요청 및 결과 검증

 

1. 보안약점 항목

• 크로스사이트 스크립트

2. 설명

• 웹 서비스(게시판 등) 요청(스크립트 게시 등)과 응답결과(스크립트를 포함한 웹 페이지)에 대한 유효성 검증방법 설계 및 유효하지 않은 값에 대한 처리방법을 설계해야 한다.

3. 보안대책

• 사용자로부터 입력받은 값을 동적으로 생성되는 응답페이지에 사용하는 경우 크로스 사이트 스크립트(XSS) 필터링을 수행한 뒤 사용해야 한다.
• DB조회결과를 동적으로 생성되는 응답페이지에 사용하는 경우 HTML인코딩 또는 크로스 사이트스크립트(XSS) 필터링을 수행한 뒤 사용해야 한다.

4. 진단방법

• 외부입력값에 포함된 XSS 공격코드를 안전하게 필터링할 수 있도록 보안설계가 적용되어 있는가?
• 입력값에 대한 XSS필터링이 안전하게 수행되는지 점검하는 테스트 계획이 수립되어 있는가?

사례1 : 외부 입력값을 검증 없이 응답페이지 생성에 사용하는 경우

사례2 : DB에 저장된 값을 검증 없이 응답페이지 생성에 사용하는 경우