ATutor XSS Vulnerability
오픈소스 온라인 학습 관리 시스템 ATutor에서 다수의 취약점이 발견됐다. 취약점이 패치된 새로운 2.2.2 버전을 릴리즈하였다. ATutor Github에서 수정사항을 살펴보자.
XSS
- 삭제된 코드
$_POST['title'] = $content_row['title'] = $addslashes($_POST['title']);addslashes 함수는 데이터베이스 질의 등의 작업을 위해서 이스케이프해야할 문자 앞에 백슬래시를 붙여 반환하는 함수이다. 이스케이프되는 문자는 홑따옴표, 겹따옴표, 백슬래시, 널이다. 이스케이프되는 문자 종류에서 볼 수 있듯이 addslashes 함수는 스크립트 구문 삽입 공격에 대한 치환 용도로는 부적절하므로 이와 같이 크로스 사이트 스크립팅 취약점이 발생되었다.
- 추가된 코드
function clean_title($title){
//strip any bad stuff off the title
$title= htmlspecialchars_decode($title);
// This might be problematic for multi sentence title?
$title = preg_replace_callback('/([\?^\s])(.*)/', function ($str) {
return str_replace(array("'", '"', """), '', $str[0]);
}, $title);
$title = preg_replace('/<(.*?)>(.*?)<(.*?)>/','',$title );
$title = preg_replace('/>/','',$title );
$title = preg_replace('/\"\'/','',$title );
$title = htmlspecialchars($title);
return $title;
}
$_POST['title'] = clean_title($_POST['title']);preg_replace 함수는 정규 표현식을 이용하여 특정 구문을 치환하는 함수이다. 차례로 preg_replace 사용을 살펴보자.
$title = preg_replace('/<(.*?)>(.*?)<(.*?)>/','',$title );‘/<(.?)>(.?)<(.*?)>/’ 정규 표현식을 사용하면 HTML 태그 형식의 데이터를 검색할 수 있다. 예를 들어 크로스 사이트 스크립팅 테스트를 위해 삽입되는 Alert구문이 대표적이다.
<script>alert(document.cookie);</script> 다음으로 사용된 ‘/>/’ 구문은 태그 닫기를 위한 꺽쇠 기호 사용을 제한하기 위한 용도로 사용되었다.
$title = preg_replace('/>/','',$title );htmlspecialchars 함수는 특정 문자를 HTML 인코딩한 형태로 반환하는 함수이다. 변환되는 문자들은 &, “, ‘, <, > 이다.
- ‘&’(앰퍼샌드) - ‘&’
- ‘”’(겹따옴표) - ‘"’
- ”’(홑따옴표) - ‘'’
- ‘<’(미만) - ‘<’
- ‘>’(이상) - ‘>’