XSS(Cross-Site Scripting) 관련하여 문의드립니다.

안녕하세요.
웹 취약점 점검 결과에 따르면

XSS(Cross-Site Scripting)

심각도: 상
위험: 합법적인 사용자로 위장하는 데 사용될 수 있는 고객 세션 및 쿠키를 빼내거나 조작하는 것이 가능하여 해커가 사용자 레코드를 보거나 변경할 수 있으며 해당 사용자처럼 트랜잭션을 수행할 수 있습니다.
원인: 사용자 입력값에서 위험한 문자가 올바르게 필터링되지 않았습니다. 수정사항: 위험한 문자 인젝션에서 사용 가능한 솔루션 검토
이유: 사용자의 브라우저에 페이지가 로드될 때 실행되는 스크립트를 Appscan이 응답에 임베드했으므로 테스트 결과가 취약성을 표시하는 것으로 보입니다.

라고 나왔는데요

안에 검사 내용을 보면 Kboard 내용인 것 같아 글을 남깁니다.
 

 <div class="kboard-document-navi">
 <div class="kboard-prev-document">
 <a href="/?page_id=2516&>'"><script>alert(522)</script>=123&mod=document&uid=35" title="2020 춘·추계학술대회 안내">
 <span class="navi-arrow">«</span>
 <span class="navi-document-title kboard-default-cut-strings">2020 춘·추계학술대회 안내</span>
 </a>
 </div>

 <div class="kboard-next-document">
 </div>
 </div>

...

이 내용중 "alert(522)" 부분에 하이라이트가 있네요

다른 글 찾아보니 XSS 옵션 설정과 호스팅 방화벽 설정해보라해서 적용해봤는데...
검사 결과가 바뀌지 않아서요!

어떻게 해결하면 될까요?

좋은 정보와 인맥을 동시에, 워드프레스 사용자 단톡방 참여하기
워드프레스 에러 기술지원 서비스 전문가에게 맡기세요
  • 안녕하세요~^^

    올려주신 코드를 확인해보니

    KBoard 게시글 본문 페이지에서 이전 글, 다음 글 쪽의 코드인 듯합니다.

    어떤 이유로 이전 글 링크에 스크립트 코드가 추가되는지는

    올려주신 내용만으로는 원인을 파악하기 어렵습니다.

     

    FTP로 접속해서 /wp-content/plugins/kboard/skin/사용중인스킨/document.php 파일에

    아래의 코드로 이전 글, 다음 글을 표시하고 있습니다.

    <div class="kboard-prev-document">
    	<?php
    	$bottom_content_uid = $content->getPrevUID();
    	if($bottom_content_uid):
    	$bottom_content = new KBContent();
    	$bottom_content->initWithUID($bottom_content_uid);
    	?>
    	<a href="<?php echo $url->getDocumentURLWithUID($bottom_content_uid)?>" title="<?php echo esc_attr(wp_strip_all_tags($bottom_content->title))?>">
    		<span class="navi-arrow">«</span>
    		<span class="navi-document-title kboard-default-cut-strings"><?php echo wp_strip_all_tags($bottom_content->title)?></span>
    	</a>
    	<?php endif?>
    </div>
    
    <div class="kboard-next-document">
    	<?php
    	$top_content_uid = $content->getNextUID();
    	if($top_content_uid):
    	$top_content = new KBContent();
    	$top_content->initWithUID($top_content_uid);
    	?>
    	<a href="<?php echo $url->getDocumentURLWithUID($top_content_uid)?>" title="<?php echo esc_attr(wp_strip_all_tags($top_content->title))?>">
    		<span class="navi-document-title kboard-default-cut-strings"><?php echo wp_strip_all_tags($top_content->title)?></span>
    		<span class="navi-arrow">»</span>
    	</a>
    	<?php endif?>
    </div>

    스킨에 따라서는 코드가 다를 수도 있습니다.

    위와 같이 되어있는지 확인해보시겠어요?

     

    이전 글, 다음 글 관련해서 코드를 수정하신 게 있으시다면

    에디터의 코드 스니펫 삽입 기능으로 올려주세요.

     

    만약, KBoard 게시판 플러그인과 댓글 플러그인이 최신 버전이 아니라면

    최신 버전으로 업데이트 부탁드립니다.

    KBoard(케이보드) 플러그인 업데이트 방법

    고맙습니다.

좋은 정보와 인맥을 동시에, 워드프레스 사용자 단톡방 참여하기