2진수1 인코딩을 통한 XSS필터 회피 기술 HTML 출력에 들어가는 Content-Type의 charset을 변조함으로써, XSS 공격에 사용되는 문자열이 XSS차단필터에 의해서 걸리지 않도록 하는 검사회피기술이다. 예를 들어서, 원래의 XSS 공격 문자열이 라고 하자. 그런데, XSS차단필터가 와 같은 문자열을 차단하기 때문에, 이 공격은 성공할 수 없다. 그런데, 만약 서버의 응답 HTML의 Content-Type 선언에서 charset을 변경시킬 수 있다면, 이 XSS차단필터를 통과할 수 있다. 예를 들어, 아래와 같은 문자열은 XSS차단필터에서 보면, 전혀 의미가 없는 문자열일 뿐이다. %A2%BE%BCscript%BEalert(%A2XSS%A2)%BC/script%BE 그렇지만, 위의 문자열을 US-ASCII charset으로 디코딩을 .. 2009. 10. 28. 이전 1 다음