관리자모드 > 방문통계 > 전체방문 : 목록수 입력후 '검색' 버튼 클릭시 : XSS 팝업창 뜹니다.
팝업창을 닫으면 쿼리의 결과는 정상적으로 나오는 것 같습니다.
'XSS 팝업창' 처음 접하는 문제라 ... 문의드립니다.
· 관련키워드
,관리자,[RE]
,관리자,[RE]
크롬-Ma cOS.png안녕하세요. 비오에스입니다.
수집된 방문통계 중에 /sign-login?prev_url=">alert(String.fromCharCode(88,83,83)) 라는 페이지가 있었는데요,
이 방문통계가 조회되는 순간. 즉, 목록수를 85 이상으로 올리는 순간 alert가 실행돼버려서 생기는 메세지였습니다.
alert를 수집한 경우에는 링크가 활성화되지 않도록 처리해드렸습니다. 다시 한 번 조회해보시기 바랍니다.
임시방편으로 처리는 해드렸으나
서버변수에 소스코드가 그렇게 들어왔다는 것은 xss 공격을 위해 누군가 서버변수에 특정 스크립트를 심은 것으로 보이기 때문에
리퍼러나 서버변수에 그런 스크립트가 심어져 있는건 클릭하지 않도록 주의해주시기 바랍니다.
(클릭 전 요소검사나 상태바의 링크를 확인해주세요.)
근본적인 해결을 위해서는 V2 서비스로 갈아타시는 것이 가장 좋습니다.
V2에는 위와 같은 공격을 원천적으로 차단할 수 있는 코드 구조가 이미 되어있고, 시시각각 변하는 웹환경 이슈를 고객님 계정에 바로 업데이트 할 수 있는 구조로 서비스를 하고 있기 때문입니다.
시간적 여유가 되실 때 V2로의 이전도 한 번 고려해봐주시기 바랍니다.
감사합니다.^^
