인터넷 익스플로러(Internet Explorer)의 교차 사이트 스크립팅(XSS)

교차 사이트 스크립팅(XSS: Cross-Site Scripting)의 정의와 설명

교차 사이트 스크립팅(XSS)은 사이트 간 스크립팅 또는 크로스 사이트 스크립팅으로도 불립니다.

웹 애플리케이션에서 많이 나타나는 취약점의 하나로, 웹사이트 관리자가 아닌 이가 웹 페이지에 클라이언트 사이드 스크립트를 삽입하여 다른 사용자가 이를 실행하게끔 허용하는 취약점입니다.

Microsoft Internet Explorer 8 이상에서는 자동으로 이러한 악의적인 코드를 차단해 알림창이 보여주며, 사이트의 특정 페이지가 # 으로 표시되어 정상적으로 페이지를 볼 수 없게 합니다.

Internet Explorer에서 교차 사이트 스크립팅(XSS: Cross-Site Scripting)

다음은 Internet Explorer에서 교차 사이트 스크립팅(XSS) 기능을 해제하는 방법입니다.

교차 사이트 스크립팅(XSS) 기능은 보안 강화 기능이므로, 특별한 상황이 아니라면 해제하지 않도록 하는 것이 좋습니다.

특정 웹사이트 접속을 위하여 기능을 해제해야 하는 상황이라면, 이용 후에는 다시 기능을 작동시켜야 안전합니다.

위의 설명해드린것과 같이, 악의적인 코드가 삽입된 웹페이지에 접속하게 되면 위와 같이 경고 메시지가 나타나게 됩니다.

1. 인터넷 익스플로러(Internet Explorer)를 실행한 상태에서 톱니바퀴 아이콘(인터넷 옵션) (메뉴 > 도구 > 인터넷 옵션)을 클릭하여 인터넷 옵션을 실행합니다.

2. 보안 탭에서 '사용자 지정 수준(C)'을 클릭합니다.

3. '보안 설정 - 인터넷 영역' 창이 실행되면 스크롤을 아래쪽으로 내려 'XSS 필터 사용'을 찾아서, '사용 안함'에 체크하고 확인을 눌러줍니다.

4. 위와 같은 경고 메시지 창이 나타나도 무시하고 '예(Y)'를 클릭하여 위에서 선택한 사용 안함의 값을 적용합니다.

4 Comment,  0  Trackback
  • casisial
    XSS필터 사용안함하고 껏다켜도 특정사이트들어가면 똑같이 멈췄다가 작업표시줄에 뜨네요 어떻게해야되요?
  • 방문자
    XSS 필터 사용은 보안을 강화하는 옵션입니다.
    다만, 일시적으로 특정 사이트를 이용하기 위해 이를 해제할 필요성이 있다면 잠시 '사용 안 함'으로 해제할 수는 있을 것입니다. 해당 사이트 이용이 끝나면 다시 필터를 사용하는 것이 보안상 바람직합니다.

    MS에서 이 필터를 추가한 것은 그만큼 보안위험이 크기 때문이겠죠.
    그러므로 일반적인 사이트 이용시 큰 불편이 없다면 이 옵션을 해제하지 않는 것이 보안상 보다 안전한 서핑방법입니다.

    본문 마지막에 보면, 필터 사용을 해제하는 것이 마치 보안을 강화하는 것으로 오해할만한 내용이 있습니다.
    필터 사용을 해제하는 것이 보안을 약화시킨다는 것을 명시적으로 언급해야 한다고 봅니다.

    XSS 필터 사용을 해제하면 보안에 취약해지는 것인데, 사용자의 어떤 필요성 때문에 이런 보안위험을 감수하고서라도 일시적으로 필터 사용을 해제하고 싶다면 본문의 방법으로 해제할 수 있다.

    예를들어, 교차 스크립트는 사용자가 쇼핑몰의 결제 페이지에서 결제 관련 민감한 정보들을 입력하고 있을 때, 로그인 중인 다른 사이트에서 악의적인 교차스크립트가 실행되어 쇼핑몰 사이트의 결제 페이지에 입력된 내용들을 전송받아 가로챌 수 있습니다.
    쇼핑몰의 보안 프로그램이 교차 스크립트를 차단하면 다행이지만, 그렇지 못했을 때는 굉장히 위험한 상황인 것입니다. 이런 위험성 때문에 MS에서 교차스크립트의 실행을 차단하는 필터(방어막)를 도입한 것입니다. 그래서 IE 보안의 기본값이 필터를 사용하도록 설정돼 있는 것이고요.

    다만, 쇼핑몰 결제 페이지 같은 민감한 정보가 없는 단순한 사이트를 이용 중일 때, XSS 필터 때문에 어떤 불편을 겪는다면 잠시 해제할 수는 있을 것입니다. 설사 정보가 넘어가더라도 거의 중요하지 않은 정보일 경우에 말이죠.
    이 글의 주제는 옵션 해제방법에 대한 것이지만, XSS 필터가 어떤 것이고 이를 사용하는 것과 해제하는 것이 "보안상" 어떤 의미를 갖는 것인지에 대한 언급이 있었어야 한다고 봅니다.

    글의 전반부는 잘 되어 있는데, 방지라는 단어를 사용하면서부터는 마치 XSS 필터 옵션의 사용을 해제하는 것이 바람직한 것처럼 오해의 소지가 다분하게 작성되어 있습니다.
    하일라이트는 마지막 문장입니다. XSS 필터를 "사용 안 함"으로 설정하는 방법을 알려드렸다면서 보다 안전한 서핑을 즐기라는 표현입니다. 이 문장은 필터를 사용하지 않는 것이 보다 안전한 서핑이라는 뜻으로 오해할 소지가 크다고 봅니다.

    필터 해제는 이런 방법으로 할 수 있다는 것을 알려드리지만, 이것은 보안상으로 보자면 악의적인 스크립트를 차단하는 필터(방어막)를 해제하는 것이므로, 보안위협에 더 노출되는 것임을 독자에게 명시적으로 알렸어야 합니다.

    이 포스트의 전반부는 XSS 필터를 일반 독자에게 소개하고, 그것이 어떤 역할을 하는 것이지 언급한 점에서 훌륭한 포스트의 출발이었지만, 중반 이후 부적절한 용어의 선택과 XSS 필터의 해제가 보안상 어떤 의미를 가진다는 것을 언급하지 않았고, 심지어 거꾸로 필터 해제가 보다 보안을 강화시키는 것으로 오해할만한 여지를 주고 있으므로 매우 좋지 않은 포스트 내용이라고 봅니다. 심지어는 어떠한 불순한 의도를 가지고 일부러 이렇게 쓴 것이 아닌가 하는 생각마저 듭니다. 아니기를 바랍니다.

    서핑 중 우연히 방문한 사용자이고 악의는 전혀 없습니다. 컴퓨터 초보가 이 글을 읽는다면 매우 위험성이 크기 때문에 댓글을 달지 않을 수 없었습니다.
    이 글이 제 글이라면 얼굴이 화끈거릴 것인데 남 일 같지 않아서 주인장께 알려드리는 차원입니다. 속히 글을 손보셨으면 합니다.
    • 안녕하세요?
      의견을 남겨주셔서 감사합니다!

      남겨주신 의견처럼 다분히 오해의 소지가 있어보이게 포스팅을 해두었었던것 같습니다.

      지금 바로 내용을 일부 수정하였습니다.

      의견남겨주신점, 충고해주신점 감사합니다. :)

본 게시물에 대한 질문은 댓글을 통하여 받습니다. 바른말, 고운 말을 사용하여 남겨주세요. :)