홈으로 | 무료회원가입 | 아이디/비번찾기
추천음악방송 메인홈 1대1상담
운.영.자.1대1.상담
온라이브음악방송
온라이브스토어(앱다운로드)
아리랑가요(무료음악채널)
뽕짝아가씨(무료음악채널)
okTrot(무료음악채널)
전통가요(무료음악채널)

환상의뽕짝파티 무료음악
명작트로트메들리 무료음악
트로트메들리관광 무료음악
보안∵서버∵쿠키
윈도우∵프레임
이미지∵배경
시간∵달력∵계산
상태바∵타이틀바
음악∵영상
폼∵전송∵테이블
키보드∵마우스
효과∵링크∵메뉴
Script∵php
기타
PHP 강좌
윈도우관련팁
웹관련팁
홈페이지제작팁
기본강좌
레지스트리
윈도우서버
리눅스서버
Android
그누보드에서 사용된 XSS (Cross Site Script) 막기
6년 전

function conv_content($content)

{




        // 테이블 태그의 갯수를 세어 테이블이 깨지지 않도록 한다.

        $table_begin_count = substr_count(strtolower($content), "<table");

        $table_end_count = substr_count(strtolower($content), "</table");

        for ($i=$table_end_count; $i<$table_begin_count; $i++)

        {

            $content .= "</table>";

        }




        $content = preg_replace_callback("/<([^>]+)>/s", 'bad130128', $content);




        $content = preg_replace($source, $target, $content);




        // XSS (Cross Site Script) 막기

        // 완벽한 XSS 방지는 없다.

        

        // 이런 경우를 방지함 <IMG STYLE="__XSS__expression(alert('XSS'))">

        //$content = preg_replace("#\/\*.*\*\/#iU", "", $content);

        // 위의 정규식이 아래와 같은 내용을 통과시키므로 not greedy(비탐욕수량자?) 옵션을 제거함. ignore case 옵션도 필요 없으므로 제거

        // <IMG STYLE="__XSS__ex/pression(alert('XSS'))"></IMG>

        $content = preg_replace("#\/\*.*\*\/#", "", $content);




        // object, embed 태그에서 javascript 코드 막기

        $content = preg_replace_callback("#<(object|embed)([^>]+)>#i", "bad120422", $content);




        $content = preg_replace("/(on)([a-z]+)([^a-z]*)(\=)/i", "on$2$3$4", $content);

        $content = preg_replace("/(dy)(nsrc)/i", "dy$2", $content);

        $content = preg_replace("/(lo)(wsrc)/i", "lo$2", $content);

        //$content = preg_replace("/(sc)(ript)/i", "sc$2", $content);

        $content = preg_replace_callback("#<([^>]+)#", create_function('$m', 'return "<".str_replace("<", "<", $m[1]);'), $content);

        //$content = preg_replace("/\<(\w|\s|\?)*(xml)/i", "", $content);

        $content = preg_replace("/\<(\w|\s|\?)*(xml)/i", "_$1$2_", $content);




        // 플래시의 액션스크립트와 자바스크립트의 연동을 차단하여 악의적인 사이트로의 이동을 막는다.

        // value="always" 를 value="never" 로, allowScriptaccess="always" 를 allowScriptaccess="never" 로 변환하는데 목적이 있다.

        //$content = preg_replace("/((?<=\<param|\<embed)[^>]+)(\s*=\s*[\'\"]?)always([\'\"]?)([^>]+(?=\>))/i", "$1$2never$3$4", $content);

        // allowscript 속성의 param 태그를 삭제한다.

        $content = preg_replace("#(<param.*?allowscript[^>]+>)(<\/param>)?#i", "", $content);

        // embed 태그의 allowscript 속성을 삭제한다.

        $content = preg_replace("#(<embed.*?)(allowscriptaccess[^\s\>]+)#i", "$1", $content);

        // object 태그에 allowscript 의 값을 never 로 하여 태그를 추가한다.

        $content = preg_replace("#(<object[^>]+>)#i", "$1<param name=\"allowscriptaccess\" value=\"never\">", $content);

        // embed 태그에 allowscrpt 값을 never 로 하여 속성을 추가한다.

        $content = preg_replace("#(<embed[^>]+)#i", "$1 allowscriptaccess=\"never\"", $content);




        // 이미지 태그의 src 속성에 삭제등의 링크가 있는 경우 게시물을 확인하는 것만으로도 데이터의 위변조가 가능하므로 이것을 막음

        $content = preg_replace("/<(img[^>]+delete\.php[^>]+bo_table[^>]+)/i", "*** CSRF 감지 : <$1", $content);

        $content = preg_replace("/<(img[^>]+delete_comment\.php[^>]+bo_table[^>]+)/i", "*** CSRF 감지 : <$1", $content);

        $content = preg_replace("/<(img[^>]+logout\.php[^>]+)/i", "*** CSRF 감지 : <$1", $content);

        $content = preg_replace("/<(img[^>]+download\.php[^>]+bo_table[^>]+)/i", "*** CSRF 감지 : <$1", $content);




        $content = preg_replace_callback("#style\s*=\s*[\"\']?[^\"\']+[\"\']?#i",

                    create_function('$matches', 'return str_replace("\\\\", "", stripslashes($matches[0]));'), $content);




        $pattern = "";

        $pattern .= "(e|&#(x65|101);?)";

        $pattern .= "(x|&#(x78|120);?)";

        $pattern .= "(p|&#(x70|112);?)";

        $pattern .= "(r|&#(x72|114);?)";

        $pattern .= "(e|&#(x65|101);?)";

        $pattern .= "(s|&#(x73|115);?)";

        $pattern .= "(s|&#(x73|115);?)";

        //$pattern .= "(i|&#(x6a|105);?)";

        $pattern .= "(i|&#(x69|105);?)";

        $pattern .= "(o|&#(x6f|111);?)";

        $pattern .= "(n|&#(x6e|110);?)";

        //$content = preg_replace("/".$pattern."/i", "__EXPRESSION__", $content);

        $content = preg_replace("/<[^>]*".$pattern."/i", "__EXPRESSION__", $content);

        // <IMG STYLE="__XSS__expression(alert('XSS'))"></IMG> 와 같은 코드에 취약점이 있어 수정함. 121213

        $content = preg_replace("/(?<=style)(\s*=\s*[\"\']?xss\:)/i", '="__XSS__', $content);

        $content = bad_tag_convert($content);

        return $content;

}








// OBJECT 태그의 XSS 막기

function bad120422($matches)

{

    $tag  = $matches[1];

    $code = $matches[2];

    if (preg_match("#\bscript\b#i", $code)) {

        return "$tag 태그에 스크립트는 사용 불가합니다.";

    } else if (preg_match("#\bbase64\b#i", $code)) {

        return "$tag 태그에 BASE64는 사용 불가합니다.";

    }

    return $matches[0];

}




// tag 내의 주석문 무효화 하기

function bad130128($matches)

{

    $str = $matches[2];

    return '<'.$matches[1].preg_replace('#(\/\*|\*\/)#', '', $str).'>';

}








// 악성태그 변환

function bad_tag_convert($code)

{

    global $view;

    global $member, $is_admin;




    if ($is_admin && $member[mb_id] != $view[mb_id]) {

        //$code = preg_replace_callback("#(\<(embed|object)[^\>]*)\>(\<\/(embed|object)\>)?#i",

        // embed 또는 object 태그를 막지 않는 경우 필터링이 되도록 수정

        $code = preg_replace_callback("#(\<(embed|object)[^\>]*)\>?(\<\/(embed|object)\>)?#i",

                    create_function('$matches', 'return "<div class=\"embedx\">보안문제로 인하여 관리자 아이디로는 embed 또는 object 태그를 볼 수 없습니다. 확인하시려면 관리권한이 없는 다른 아이디로 접속하세요.</div>";'),

                    $code);

    }




    //return preg_replace("/\<([\/]?)(script|iframe)([^\>]*)\>/i", "<$1$2$3>", $code);

    // script 나 iframe 태그를 막지 않는 경우 필터링이 되도록 수정

    return preg_replace("/\<([\/]?)(script|iframe|form)([^\>]*)\>?/i", "<$1$2$3>", $code);

}
추천추천 : 312 추천 목록
번호 제목
3,026
 여러 도메인들 간 쿠키 공유하기
3,025
 태그 사이에 있는 텍스트를 추출
3,024
 [JQuery] textbox focus on off일때 숫자 콤마 보여주기
3,023
 쿠키 생성,가져오기,삭제
3,022
 사용자 함수 모음
3,021
 마우스,키보드 제한 ( 오른쪽클릭,드래그,영역선택등..)
3,020
 [HTML5] <video> - DOM으로 제어하기
3,019
 HTML5 video 태그에서 영상 좌우반전
3,018
 PHP - 특정 태그 및 문자열 추출, 제거
3,017
 [PHP] define과 defined의 차이
3,016
 우클릭 완벽차단 스크립트
3,015
 iframe 높이 100% 맞추기
3,014
 curl 함수를 이용한 HTTP REFERER 변경
3,013
 윈도우10 시스템 파일 및 Dism 검사
3,012
 텍스트 줄바꿈, 글자자르기 CSS
3,011
 jQuery Mobile에서 유용한 코드 10가지.
3,010
 [PHP] dirname()함수와 $_SERVER 관련 상수들
3,009
 [PHP] 파일 크기, 사이즈 불러오는 함수, filesize()
3,008
 [jQuery] jQuery Quick API
3,007
 [ transition ] 링크 hover 색상 변화 속도 조절
3,006
 PHP 5.3.0 에서 사라진 함수들 대체
3,005
 어떤 파일들이 include 나 require 되었는지 확인하는 함수(get_included_files)
3,004
 PHP 날짜 형식 및 계산하기(날짜 더하고 빼기)
3,003
 jQuery Mobile에서 유용한 코드 10가지.
3,002
 값이 배열 안에 존재하는지 확인하는 in_array함수
목록
추억의가요방(가사포함)
인기절정뽕짝파티
인기트로트모음
지루박디스코메들리
밤무대애창곡
전자올겐경음악
세월따라노래따라
가슴시린트로트
트로트쌍쌍파티
7080추억속으로
종합성인가요방
못잊을옛날노래
카바레 음악
트롯디스코팡팡
관광 메들리
트롯카페
가요감상실
추억의옛노래
스페셜가요광장
BillBoard Free
추천가요모음
경음악.전자올겐
스페셜음악여행
WOLRD POPs
K-POP\BillBoard
POP TOP BEST

최신인기가요특집
추천가요\인기
F뮤직 인기\발라드
F뮤직 애창\트로트
트로트성인가요
인기가요
프리미엄 POP
경음악\기타
프리미엄 최신가요
프리미엄 성인가요
뮤직트로트 부산광역시부산진구 가야동 ㅣ 개인정보취급방침
Copyright (C) musictrot All rights reserved.