출력 인코딩 또는 이스케이프 미흡 (Improper Output Encoding or Escaping)

Improper Encoding or Escaping of Output

설명

템플릿 엔진(Mustache 등)에서 'escapeMarkup'을 false로 설정하면, HTML 특수 문자가 자동 이스케이프되지 않아 악의적인 스크립트가 그대로 출력될 수 있습니다. 이로 인해 공격자는 XSS(Cross-Site Scripting) 공격을 수행하여 악성 스크립트를 브라우저에서 실행할 수 있습니다.

잠재적 영향

XSS 공격 가능 (크로스사이트 스크립팅): 공격자가 악의적인 스크립트를 삽입해 사용자의 브라우저에서 실행될 수 있습니다.
정보 탈취: 사용자의 쿠키, 세션 정보 등이 탈취될 수 있습니다.
사이트 변조 또는 서비스 신뢰도 저하: 웹페이지가 공격자에 의해 변조될 수 있습니다.

해결 방법

출력시 항상 이스케이프(escape)를 활성화 상태로 유지합니다.
사용자 입력 데이터는 반드시 HTML 엔코딩 후 출력합니다.
템플릿 엔진의 자동 이스케이프 기능을 비활성화하지 않습니다.

취약한 코드 및 안전한 코드 예시

취약한 코드

// Mustache의 escapeMarkup을 false로 비활성화
const Mustache = require('mustache');
Mustache.escapeMarkup = false;
const unsafeTemplate = '<div>{{userInput}}</div>';
const html = Mustache.render(unsafeTemplate, { userInput: req.query.text });

안전한 코드

// Mustache의 escapeMarkup 사용 (비활성화하지 않음)
const Mustache = require('mustache');
// escapeMarkup 디폴트값을 그대로 사용 (true)
const safeTemplate = '<div>{{userInput}}</div>';
const html = Mustache.render(safeTemplate, { userInput: req.query.text });

설명:

취약한 코드: escapeMarkup을 false로 설정하면, 템플릿에 삽입된 사용자 입력값이 HTML로 이스케이프되지 않아 악성 스크립트가 그대로 브라우저에 삽입되고 실행될 수 있습니다.
안전한 코드: escapeMarkup을 비활성화하지 않으면, 사용자 입력값이 HTML 엔티티로 이스케이프되어 XSS 등 악성 코드 실행이 차단됩니다.

참조

CWE-116

Previous취약하거나 위험한 암호화 알고리즘(MD5) 사용 Next버퍼 경계 초과 접근 (Buffer Overflow)

Last updated 7 months ago