보완 관련 이슈
1.SCRF
의도하지 않은 요청(해커가 사용자의 게시글을 마음대로 작성)
예시) 해커가 특정인물의 SNS 계정으로 마음대로 계시글을 작성하는 것
2.XSS
dangerouslySetInnerHTML 로 해킹 하는 법
-> CrossSiteScript(XSS)
-> <img src='' onerror={localStorage.getItem('acessToken')}/>을 이용
예시)
playground XSS 공격
contents: "<img src='#' onerror=" console.log(localStorage.getItem(\"accessToken\"))"/>"- dompurify
dangerouslySetInnerHTML 해킹 방지
Dompurify.sanitize()를 통해 html 안 자바스크립트 코드가 실행되는 것을 차단
4.SQL Injection
해커가 마음대로 로그인 해서 유저의 정보를 빼감.
신뢰할 수 없는 데이터가 전달될 때 나타난다. 이로 인해서 ID, PW, 개인정보 등의 유출 가능성이 높아집니다. 이에 대응하기 위해서 사용자 입력 창에 일부 특수문자 입력 차단, SQL 서버 에러 메시지 표시 금지, 일반 사용자 권한으로 시스템 저장 프로시저 접근을 차단하는 등의 방안이 있다.
예시)
if(id===$id && pw === $ps || 1===1 ) {
로그인
}