웹 응용 프로그램이 사용자가 지정된 언어 또는 로캘로 응용 프로그램을 현지화하기 위해 번역 메시지를 제공하도록 허용하는 경우이 문제와 관련된 잠재적 인 보안 위험은 무엇입니까? [명백한 사회 공학을 제외하고]현지화 메시지의 보안 위험 가능성
이러한 번역 메시지는 일반적으로 언어/라이브러리 등에 따라 일종의 형식의 키 - 값 쌍 모음입니다. 예를 들어, 많은 OSS의 PHP 배열 파일 PHP 응용 프로그램, gettext를 사용하는 응용 프로그램 용 getetxt .po 파일, Rails의 Yaml 파일 및 기타 여러 파일이 있습니다.
그런 변환 데이터를 사용하여 사이트에서 사용할 수있는 로케일 목록에 새 로캘을 제공합니다.
답변 해 주셔서 감사합니다. 나는 다양한 공격을 (어느 정도) 알고있다. 문제는 이것을 말하지 않지만 더 넓은 각도에서이 문제를 보려고합니다. 대부분의 (모든?) 앱은 110n 데이터의 단일 제어 지점을 가정하여 설계되었습니다. 다른 시나리오는 예를 들어 l10n 데이터가 제 3 자에 의해 유지되고 CDN을 통해 말하게됩니다. –
@Basel Shishani 당신은 빨대를 쥐고 있습니다. 나는 당신이 이국적인 문제에 너무 많은 시간을 보내고 있다는 것을 걱정합니다. 하루가 끝날 때 사람들이 해킹당하는 간단한 문제 일 때입니다. 영구 XSS는 공격자가 iframe을 도입하고 브라우저를 악용하거나 웹 사이트를 손상시킬 수있는 매우 심각한 취약점입니다. – rook
@Basel Shishani 공격을받은 대부분의 손상된 웹 사이트에서 공격자는 서버에서 정교한 원격 코드 실행을 사용하여 기본 페이지에 간단한 iframe을 도입하여 브라우저를 악용했습니다. 첫 페이지에 저장된 xss는 대다수의 범죄자에게 가장 유용한 웹 애플리케이션을 이용합니다. – rook