티스토리 뷰
Lucy-XSS Filter
1. XSS (Cross-Site Script)
XSS는 악의적인 스크립트를 삽입하여 다른 사용자의 클라이언트에서 임의의 스크립트를 실행할 수 있는 취약점.
이 취약점으로 해커가 사용자의 정보(쿠키 및 세션 등)을 탈취하거나 자동적으로 비정상적인 기능을 수행하게 할 수 있음.
2. 2017 OWASP TOP 10 - A3 (XSS)
3. XSS 대응방안
1) <, >, &, ", ', (, ) 등의 스크립트에 사용되는 특수기호를 <, >, & " 등의 html 엔티티로 치환
2) 영어, 숫자 등의 입력값만 허용하는 White-List
4. Lucy-XSS Filter
악의적인 XSS 코드로부터 웹 어플리케이션을 보호하기 위해 필요한 기능을 White-List 방식으로 구현해 놓은 JAVA 기반의 XSS Filter Library.
xml과 jar 파일을 각각의 경로에 넣어주고, import하여 filter를 사용하면 됨.
lucy-xss-1.1.2.jar[파일 경로]
> src/lucy-xss-superset.xml
> WebContent/WEB-INF/lib/lucy-xss-1.1.2.jar
[write_board.jsp]
<%@ page import = "com.nhncorp.lucy.security.xss.*" %>
.....
XssFilter filter = XssFilter.getInstance("lucy-xss-superset.xml");
title = filter.doFilter(title);
'WEB > -' 카테고리의 다른 글
| LIKE문을 이용한 Blind SQL Injection (0) | 2018.06.29 |
|---|---|
| 웹 취약점 점검항목 28개 (0) | 2017.08.03 |
| Apache Struts2 (0) | 2017.08.03 |
| PreparedStatement 가 인젝션에 안전한 이유 (0) | 2017.06.13 |
| 웹 취약점 및 대응방안 (0) | 2017.06.12 |
댓글
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday