태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
다음 애드클릭스IE 8.0 이 차단하는 문제를 지적하기 이전에 교차스크립팅이 무엇인지 먼저 함 보면..

교차스크립팅 차단 메시지


보안 경고 창을 클릭해 보면 위와 같은 도움말을 제공합니다. 내용을 보면 하나의 웹사이트가 또 다른 웹사이트에 스크립트 코드를 추가하지 못 하도록 함 .. 이렇게 간략히 설명 되있는데 ... 이 내용만으론 이해가 불가..

MSDN 블로그에 게시된 일부 글.

 원문 페이지 : http://blogs.msdn.com/ie8kr/archive/2009/03/17/ie8-4-xss.aspx

XSS 취약점은 공격자로 하여금 사용자와 웹 사이트 혹은 사용자가 신뢰하는 웹 어플리케이션 간의 관계를 조정하는 것을 가능하게 합니다. 크로스-사이트 스크립팅은 다음과 같은 공격을 가능하게 합니다:

  • 쿠키 절도, 계정 하이재킹으로 이어질 수 있는 세션 쿠키의 절도를 포함
  • 피해 웹 사이트 / 어플리케이션에 대한 키 입력의 감시
  • 웹사이트에서 특정 사용자인 것처럼 행동. 가령 Window Live Mail에 대한 한 XSS 공격은 공격자가 이메일을 읽고 전달할 수 있으며, 새로운 일정을 설정할 수 있습니다.
 상기 제시된 원문 링크의 내용을 읽어 보면, IE 8.0 에선 XSS 의 보고된 취약점에 대해 대부분 막을 수 있다.. 언급 부분도 있으며, 호환성을 위해서도 노력중이다.. 

 위에 사이트 교차 스크립팅에 대해서 먼저 언급 했지만, 블로그에 하단부에 삽입한  애드클릭스 가 정상적으로 노출되지 않는 부분이 확인되어.. 다음 공식 블로그에 확인, 다른 분이 문의하신 글과 답변을 확인할 수 있었고, 이 와 관련 정보를 검색해 하던 중 적게 남아 얻은 정보 메모리 입니다.

애드클릭스 공식 블로그에 게시된 글
- 티스토리 와 업무 제휴가 필요하다는 언급이 있습니다.

발생되는 현상 





 그런데.. 문제는 XSS 필터가 IE8.0 베타 시절에 이 부분을 왜 해결하지 않았는가 ? 의문이 ... IE 8.0 베타 때는 XSS 필터 부분이 비활성화 되어 있었다고 하지만 IE 7.0 사용시에도 해당 문제가 간혹 발생했었는데도 사전에 왜 개선 하지 않았는지 의문이 갑니다... 오늘 (2009.05.02) 까지 별도 공지가 없는 것으로 봐선 해결이 오래 걸릴 것으로 보입니다만.

 애드클릭스 측에서 공지가 나오기 전까지 임시 방편이 있는지 찾아 보던 중에  교차 사이트 스크립팅 경고 문구문제를 문제를 해결하고자 몇몇 블로그 분들은 여러가지 시도를 해보시는 것을 검색중 볼 수 있었는데.. 

번째 언급한 XSS필터 비활성화하는 방법.
 

익스플로어 - 도구 - 인터넷 옵션 - 보안 - 사용자 지정 수준 또는 기본 수준 클릭


XSS  필터 사용 안함 ..

이 방법의 문제점은 자기만 정상적으로 보이게 될 뿐 .. 타인이 IE8.0으로 자신의 블로그를 방문시 문제점은 동일하다는 것과 XSS 보안 취약점에 노출 될 수 있다는 맹점이 존재.
- 특정 서비스를 받는데 문제가 발생하지 않는다면.. 개인이 상기 옵션을 끌 필요는 없음.

번째 는  ( )  가 스크립트 상에 삽입되어 있을 경우 해당 문제가 발생하는 경우가 있어 치환문 삽입을 통해 해결하고자 하는 방법. 이 것을 시도하셧던 분은 이 것만으론 해결이 불가하다고 판단함. 참고- IE8의 엽기적인 행각... 교차 사이트 스크립팅 (XSS)

 번째 헤더문 삽입을 통한 특정 페이지 XSS 필터 비활성화 .. 먼저 이 방법을 사용해보셧던 분의 글을 보면 제대로 교차 사이트 스크립팅 경고 문구가 출력되지 않았다고 하네여. 
--> 다음 애드클릭스 로 확인한 부분이 아니기 때문에 확인 필요. 

response.setHeader("X-XSS-Protection", "0");

 참고 링크
http://blogs.msdn.com/ie8kr/archive/2009/03/17/ie8-4-xss.aspx
XSS Filter 작동 않하게 하기


 위에 글이 IE8.0 에서 다음 광고가 제대로 출력되지 않는 부분에 대한 이야기였지만, 구글 크롬에서도 이 와같은 증상이 있다고 합니다. 

 이런 문제를 떠나서...

 티스토리에서 사용되는 다른 스크립트 (믹시 , 검색 , 이올린 광고 , 구글 광고 스크립트 ,다음 애드클릭스 링크 , 등) 는 정상적으로 보이는데 ..  애드클릭스 의 광고 중  콘텐츠 광고 스크립트만 XSS 필터에 차단 되는 것인지... 광고 스크립트 상의 문제인지,  XSS 필터가 스크립트에 ( ) 이 것이 삽입되어 있으면.. 교차스크립팅 보안 문구와 함께 차단된다는 글도 볼 수 있는 것을 봐선.. 다음 애드클릭스 의 () 문구 문제인지 ... 다른 것 때문인지... 
 
 해외에도 이런 문제가 없다고는 볼 수 없지만, 유독 국내 웹 서비스 들이 브라우져 바뀔 때마다 호환성 문제가 발생하는 것이 언제쯤이면  벗어 날 것인지 궁금함 ~~
  
Posted by 진샘나미
Trackback(0) : Comment (2)
맞춤검색