------------------------------------- 발췌 시작 ------------------------------------- 

"그누보드의 XSS 취약점 패치가 너무 잦다고 생각하신다면" 

폼으로 전송되어 내용에 HTML 이 적용되는 필드는 XSS  취약점에서 자유로울수 없습니다. 

그것이 그누보드 이거나 또는 타 BBS, CMS 프로그램 이거나를 가리지 않습니다. 

다만, 이런 취약점이 알려졌지만 빨리 패치가 되느냐? 되지 않는냐? 의 차이점만 있을수 있습니다. 

(중략) 

위 조건들을 모두 막았다고 하더라도 아직 공개되지 않은 취약점이 있을수 있으므로 

HTML 사용시의 XSS 취약점을 완벽하게 해결하는 방안은 없다고 봐야 합니다. 

(중략) 

아직 그누보드는 <> 를 감싼 태그를 사용하여 글 작성을 하므로 XSS 취약점에서 자유로울수 없으며 

<> 태그를 사용하는한 앞으로도 자유로울수 없을것 입니다. 

그누보드의 보안패치가 자주 올라오는 이유를 이제 어느 정도는 공감하시겠죠? 

------------------------------------- 발췌 끝 ------------------------------------- 

아놔 이런 한심한....!! 이라고 하려다가 그냥 한숨만 쉬고 말았네요. 

XSS 필터링은 그렇게 어려운게 아닙니다. 발상이 잘못되었기 때문에 어렵게 보이는 것 뿐입니다. 

지금이 1999년도 아니고, 수많은 사람들이 사용하는 프로그램이XSS 취약점 때문에 

일주일이 멀다하고 업데이트가 필요하다면 개발자의 실력을 의심하지 않을 수 없습니다. 

이 게시판에도 종종 올라오는 XSS 필터링 라이브러리들, 

그리고 제로보드와 그누보드 등 대부분의 게시판 프로그램들이 사용하는 필터링 알고리즘들에는 

두 가지 치명적인 허점이 있습니다. 이것 때문에 계속 뚫리는 것입니다. 

1. 위험한 태그, 속성, 이벤트만 콕콕 찍어 막으려고 하는 blacklisting 기법을 사용한다. 

2. HTML에 오류가 있거나 웹표준에 어긋나는 태그를 사용한 경우를 감안하지 않는다. 

blacklisting은 수많은 태그, 속성, 이벤트들 중 "위험하다고 알려진" 것들만 블랙리스트에 등록해서 

블랙리스트에 등록된 태그, 속성, 이벤트만 지우고, 나머지는 모두 허용해주는 방법입니다. 

만약 HTML5처럼 새로운 태그나 속성이 생기면 블랙리스트에 아직 없으니 모두 허용해 버리게 됩니다. 

만약 사용하기에 따라 위험할 수도 있는 속성이 블랙리스트에서 빠졌다면 그것도 허용해 버리게 됩니다. 

무엇이 허용되는지조차 분명하지 않으니 자나깨나 땜빵하느라 고생이 많습니다. 

반면, "안전하다고 증명된" 태그, 속성, 이벤트만 화이트리스트(블랙리스트의 반댓말)에 등록해서 

리스트에 등록된 것들만 허용하고 나머지는 죄다 없애버리는 whitelisting 기법을 사용한다면 

새로운 태그나 속성이 추가되더라도 걱정이 없습니다. 

HTML 오류에 신경쓰지 않는 필터링 라이브러리도 문제입니다. 

대부분의 필터링 라이브러리들은 정규식을 사용해서 태그를 걸러내는데, 

중간에 널바이트 또는 공백이 끼어 정규식에 잡히지 않는 엉터리 HTML도 

대부분의 브라우저들은 아무 일 없다는 듯 실행해 주고 있는 것이 현실입니다. 

onmouseover 이벤트는 걸렀지만 on\0mouseover 이벤트는 거르지 못하고, 

javascript: 링크는 잡았지만 java  script: 링크는 잡지 못하는 거죠. 

심지어는 이런 것도 있습니다: "> 

위와 같은 문제를 해결하려면 태그가 잘못된 것도 걸러내줘야 합니다. 

예를 들어 태그에 src 속성 대신 스크립트가 들어가 있으면 막아야 하는 거죠. 

잘못된 태그를 다 걸러내주면 짝 없는