Lucy-XSS Filter

Lucy-XSS Filter

1.  XSS (Cross-Site Script)

XSS는 악의적인 스크립트를 삽입하여 다른 사용자의 클라이언트에서 임의의 스크립트를 실행할 수 있는 취약점.

이 취약점으로 해커가 사용자의 정보(쿠키 및 세션 등)을 탈취하거나 자동적으로 비정상적인 기능을 수행하게 할 수 있음.

2.  2017 OWASP TOP 10 - A3 (XSS)

3.  XSS 대응방안

1) <, >, &, ", ', (, ) 등의 스크립트에 사용되는 특수기호를 &lt;, &gt;, &amp; &quot; 등의 html 엔티티로 치환

2) 영어, 숫자 등의 입력값만 허용하는 White-List

4.  Lucy-XSS Filter

악의적인 XSS 코드로부터 웹 어플리케이션을 보호하기 위해 필요한 기능을 White-List 방식으로 구현해 놓은 JAVA 기반의 XSS Filter Library.

xml과 jar 파일을 각각의 경로에 넣어주고, import하여 filter를 사용하면 됨.

lucy-xss-1.1.2.jar

lucy-xss-superset.xml

[파일 경로]

> src/lucy-xss-superset.xml

> WebContent/WEB-INF/lib/lucy-xss-1.1.2.jar

[write_board.jsp]

<%@ page import = "com.nhncorp.lucy.security.xss.*" %>

                                   .....

XssFilter filter = XssFilter.getInstance("lucy-xss-superset.xml");

title = filter.doFilter(title);