xss filtering

Daily/Prog 2013. 10. 7. 21:40

본인/실명/IPIN 등의 인증모듈을 연동하면서 한참을 삽질하던 기억이 난다.
그 때의 문제는 인증기관에서 반환한 긴 get값을 suhosin이 강제로 잘라버린것.
원인을 찾아내는데는 긴 시간을 낭비했지만 php.ini 에서 suhosin get 값을 늘리면서 쉽게 해결.

 

오늘은 이니시스 연동에서 치명적(?)인 오류가 발생했다.
안전결제(ISP)만 결제 실패. (복호화 오류)
원나잇 투나잇 한것도 아닌데 이건 또 뭥...
난 단지 이니시스에서 결제가 성공했는지 여부만 가져올 뿐인데 ISP 결제만 안되는건 뭐냐고.
역시 오랜 시간 끝에 post값과 request값이 다르게 들어오는 부분을 발견.

 

훗 또... 잊고 있던 suhosin. 그러나 모든 설정은 post와 request가 같은데... 값이 틀리게 들어오는건...;
혹시 모르니 일단 post설정 값을 늘려보지만 역시 예상대로 해결되지 않음 ㅋ.
그렇다면 CodeIgniter 의 post설정만 남았네.
ci에서 post설정이라면 global_xss_filtering 뿐.
$config['global_xss_filtering'] = false; 로 xss를 꺼보니 해결. ㅜㅜ
요놈이 post 값의 일부 문자들을 변경해 버렸다. 그로 인해 복호화가 실패했다.
이놈은 아군이 확실한데 이따위 문자를 보낸 이니시스를 탓해야 하나, 이걸 간과한 나를 탓해야 하나...

 

이제와서 이걸 차마 끌 수는 없고, (끄면 각각 모든 post 부분에 개별 filtering 을 지정해야 함)
$_POST['encrypted'] = $_REQUEST['encrypted'];
결국 요롷게 문제되는 부분만 바꿔치기로...

 


WRITTEN BY
손가락귀신
정신 못차리면, 벌 받는다.

트랙백  0 , 댓글  4개가 달렸습니다.
  1. dltmdrkq 2014.04.16 16:22
    isp 복호화 문제때문에 며칠고생했는데..너무감사합니다..!!
  2. 저도 같은 문제였네요.
    잘 못 세팅한 줄 알고 삽질하다가 덕분에 빠르게 넘어갑니다.
    검색되는 자료도 몇개 없었는데 감사합니다~~!!
secret