보호되어 있는 글입니다.
보호되어 있는 글입니다.
보호되어 있는 글입니다.
Apache Struts2 OGNL (Object Graph Navigation Language)-> 밸류스택에 저장된 여러 액션 객체의 정보를 얻어옴.(struts2에서는 액션이 실행될 때마다 액션이 스택에 저장됨) 표현식 예시)아이디: OGNL 참조객체 (#로 참조) application session value stack request parameters attribute ex) 세션맵의 유저 참조: ex) 밸류스택 사용: Apache Struts2 취약점의 대부분이 표현식 평가부분에서 발생함.그 함수중 하나가 ognl.getValue() [취약한 코드] get 파라미터 값을 Ognl.getValue 에서 검증없이 명령어를 실행하여 원격코드실행이 가능함. [계산기 원격 실행] ~.jsp?p=@jav..
Lucy-XSS Filter 1. XSS (Cross-Site Script) XSS는 악의적인 스크립트를 삽입하여 다른 사용자의 클라이언트에서 임의의 스크립트를 실행할 수 있는 취약점. 이 취약점으로 해커가 사용자의 정보(쿠키 및 세션 등)을 탈취하거나 자동적으로 비정상적인 기능을 수행하게 할 수 있음. 2. 2017 OWASP TOP 10 - A3 (XSS) 3. XSS 대응방안 1) , &, ", ', (, ) 등의 스크립트에 사용되는 특수기호를 , & " 등의 html 엔티티로 치환 2) 영어, 숫자 등의 입력값만 허용하는 White-List 4. Lucy-XSS Filter 악의적인 XSS 코드로부터 웹 어플리케이션을 보호하기 위해 필요한 기능을 White-List 방식으로 구현해 놓은 J..
보호되어 있는 글입니다.
보호되어 있는 글입니다.
- Total
- Today
- Yesterday