이번에 댓글에 댓글다는 기능을 추가해주셨는데 어느 유저가 javascript URL로 해당 기능을 재귀적으로 사용할 수 있게 만든것을 보았습니다. 물론 기능 자체는 유용하다고 생각되나 이는 일종의 XSS공격이라고 볼 수 있습니다. 임의의 사용자가 작성한 코드가 우리의 웹 브라우저에서 그대로 실행되는 것이니까요. 비록 악의적인 코드는 아니더라도요. 물론 그 URL을 직접 주소창에 입력하기때문에 실행하는 사람이 소스내용을 확인할 수 있긴 합니다. 그러나 모든 사람들이 javascript소스를 읽고 해석할 수는 없지 않습니까? 처음에는 서버에서 해당 기능을 방지할 수 있지 않을까하고 생각을 했었는데 이건 기존의 XSS공격과 달리 스크립트를 서버에 업로드하는 방식이 아니기때문에 서버측에서 대응하기는 어려워 보입니다. 그러니 유저들이 스스로 경각심을 가지고 javascript URL의 사용을 지양해야할것 같습니다.
한가지 예를 들어 볼게요.
javascript:void(alert(document.cookie));
위 스크립트는 쿠키를 alert해주는 기능뿐이지만 조금 손보면 쿠키를 특정 서버로 전송하도록 바꿀 수도 있습니다.
외부로 노출되면 안될 쿠키가 외부로 노출되는 것이죠.
사실 예전에는 더 심각했습니다. 3~4년 전쯤에 누가 댓글창 색깔 번쩍거리게 만든 게시글을 봤었는데 기억하시는분이 있을지 모르겠습니다. 뭐 클럽이다 뭐다 하면서 다들 신나서 댓글달고 그랬었는데... 그때 소스를 보니 외부 서버에 js파일 업로드해두고 import시키도록 해놨더군요. XSS취약점을 이용한겁니다. 그래서 당시에 제가 테스트를 해봤었는데 <script>는 필터링이 되었지만 <ScRipt>처럼하면 필터링이 안 되는 등 필터링 기능이 미약했었습니다. 지금 해보니 다행히 이부분은 고친것 같네요.
