이 페이지에는 Cross Site Scripting 보안 문제, Apache 자체에 미치는 영향, Apache 관련 기술을 사용할 때 이를 적절하게 보호하는 방법에 대한 정보가 포함되어 있습니다.

문제에 대한 개요는 해당 문제에 대해 발표된 CERT Advisory CA-2000-02를 참조하십시오. 관련 웹 개발자를 위한 악성 콘텐츠 완화 이해 기술 팁 문서도 검토해야 합니다. CERT 권고에는 또한 이 문제가 귀하에게 영향을 미치는 경우 검토할 가치가 있는 문제에 대해 Microsoft가 발표한 여러 문서에 대한 링크가 포함되어 있습니다. 이 문서에 포함된 정보는 여기서 반복하지 않습니다. 이 정보는 귀하가 이 문서를 읽었고 문제에 대해 잘 알고 있다고 가정합니다.

이것은 특정 소프트웨어의 특정 버그에 대한 공격이 아님을 강조하고 싶습니다. 아파치 문제가 아닙니다. Microsoft 문제가 아닙니다. Netscape 문제가 아닙니다. 사실 서버 문제나 클라이언트 문제라고 명확하게 정의할 수 있는 문제도 아니다. 이것은 진정한 크로스 플랫폼 문제이며 상호 연결된 복잡한 시스템 세트의 다양한 구성 요소 간의 예기치 않은 상호 작용의 결과입니다.

이 보안 문제의 악용을 허용하거나 기여하는 Apache를 포함한 광범위한 웹 서버 제품에는 특정 버그가 있습니다. 이러한 버그는 없어야 하며 수정해야 합니다. 그러나 이것이 전체 문제의 극히 일부에 불과하다는 사실을 깨닫는 것이 중요합니다. 가장 심각한 문제는 동적 콘텐츠를 생성하는 모든 사이트 특정 코드에 있습니다. 우리는 이 보안 문제와 관련하여 Apache에서 발견된 문제에 대해 교육하기 위해 이 정보를 제공하지만, 더 중요한 것은 이것이 Apache 관련 기술을 사용하여 개발된 로컬 코드에 어떤 영향을 미칠 수 있는지 및 고칠 수 있습니다

해당 제품을 사용하는 모든 웹 서버 또는 클라이언트에서 이 문제를 마법처럼 해결할 서버 또는 클라이언트 공급업체가 출시할 수 있는 "황금 총알"패치는 없습니다.


우리는 또한 사이트에서 사용자 A가 사용자 B가 보는 콘텐츠를 제출하도록 허용하는 경우 이것이 적절하게 인코딩되어야 한다는 오래되고 잘 알려진 문제가 아니라는 점을 이해하는 것이 중요하다는 점을 지적하고 싶습니다. 이 취약점은 콘텐츠가 사용자 A에 의해 엄격하게 제출되고 조회되는 경우에 발생합니다. 모든 상황에서 출력을 적절하게 인코딩하는 것이 어렵기 때문에 많은 사이트는 요청에 데이터를 보낸 사용자에게만 표시되는 데이터 인코딩에 대해 걱정하지 않습니다. 이것이 보안 위협을 제기하지 않는다는 잘못된 가정으로 인해

이것이 내 웹 사이트에 영향을 줍니까?

이것은 이제 막 이해되기 시작한 잠재적인 의미를 지닌 심각한 보안 문제입니다. 그러나 이 문제가 서버 자체에 침입할 수 있는 방법을 노출하지 않는다는 점을 인식하는 것이 중요합니다. 이를 통해 악의적인 공격자가 잠재적으로 사용자와 웹 사이트 간의 상호 작용을 제어할 수 있습니다. 웹 사이트에 모든 정보에 액세스할 수 있는 완전히 정적 콘텐츠가 포함되어 있는 경우 공격자는 이 상호 작용을 장악하여 거의 얻을 수 없습니다. 이 상황에서 공격자가 잠재적으로 할 수 있는 가장 심각한 일은 페이지가 특정 사용자에게 표시되는 방식을 변경하는 것입니다.

이것이 가장 잠재적인 위험을 제기하는 사이트는 사용자가 특정 유형의 계정 또는 로그인을 가지고 있고 실제 작업을 수행하거나 사용할 수 없는 데이터에 액세스할 수 있는 사이트입니다. 이 보안 문제는 그러한 사이트에 심각한 위협이 됩니다. 대신 사용자의 끝에서 액세스 권한을 얻을 수 있다면 사이트를 제어하기 위해 서버에 침입할 필요가 없습니다.

좋아, Apache 관련 정보는 어디에 있습니까?
âÃÂâ Apache 1.3.12, 이 문제의 특정 인스턴스에 대한 일부 보호 기능 제공

해당 버전의 Apache에서 알려진 문제를 해결한 1.3.11에 대한 이전 Apache 패치

âÃÂâ 인코딩 예제 페이지, Apache 모듈, Perl 및 PHP와 같은 일반적인 Apache 관련 기술을 사용하여 이 문제로부터 보호하기 위해 출력을 올바르게 인코딩하는 방법을 설명합니다.

우리는 이것이 이 문제를 악용하는 방법에 대한 마지막 단어가 될 것으로 기대하지 않습니다. Apache 자체에서 더 이상 버그가 발견되지 않더라도 사용자가 이 문제를 처리하는 데 도움이 되도록 향후 Apache에 더 많은 변경 사항이 있을 가능성이 있습니다. 이러한 유형의 공격으로부터 사이트를 보호하기 위해 사이트에 필요한 대부분의 정보를 제공하지만 이 문제와 관련하여 아직 해결되지 않은 문제가 많이 있습니다.

우리는 이것이 복잡한 문제라는 것을 알고 있으며 시간이 허락하는 한 문제와 수정 사항을 더 깊이 설명하기 위해 이 페이지를 업데이트할 것으로 기대합니다.

이름이 "Cross Site Scripting"인 이유는 무엇입니까?

이 문제는 스크립팅에 관한 것이 아니며 이에 대해 크로스 사이트가 반드시 있는 것은 아닙니다. 그래서 왜 이름? 문제가 덜 이해되었을 때 더 일찍 만들어졌고 고착되었습니다. 저를 믿으세요. 우리에게는 더 나은 이름을 생각하는 것보다 더 중요한 일이 있었습니다.


이 페이지 세트에 대한 의견이나 제안은 [email protected]로 보낼 수 있습니다. 질문이나 지원 요청에 응답할 수 없으므로 보내려는 것이면 노력을 아끼지 마십시오.