크로스 사이트 스크립팅

DAST 검사 79.1 - 크로스 사이트 스크립팅(XSS) 취약점에 대한 설명과 해결 방법입니다.

설명 # 크로스 사이트 스크립팅(XSS)은 웹 애플리케이션이나 시스템이 사용자 입력을 마크업이나 스크립트 코드로 처리하도록 악용하는 공격입니다. 사용되는 특정 컨텍스트에 따라 데이터를 인코딩하는 것이 중요합니다. 컨텍스트 유형은 최소 여섯 가지가 있습니다: HTML 태그 내부 <div>컨텍스트 1</div> 속성 내부: <div class="컨텍스트 2"></div> 이벤트 속성 내부 <button onclick="컨텍스트 3">버튼</button> 스크립트 블록 내부: <script>var x = "컨텍스트 4"</script> 안전하지 않은 요소 HTML 할당: element.innerHTML = "컨텍스트 5" URL 내부: <iframe src="컨텍스트 6"></iframe><a href="컨텍스트 6">링크</a> 스크립트 블록만으로도 여러 방식으로 인코딩될 수 있습