밑에 참고자료로 해보았지만 POST multipart-formdata는 되지 않았다... ----------------------------------------------------------------------보안파트로부터 최근 XSS를 이용한 공격사례가 증가하고 있다는 내용과 함께, request로 넘긴 javascript가 그대로 실행되는 페이지가 전달되었다. 매번 문제가 되는 부분만을 해결기에 급급하다보니, 누락된 부분이나 신규 개발되는 영역에서 문제가 다시 발생하기 마련이다. framework이나 공통모듈에서의 지원이 이루어지지 못했던 점도 있다. 신규 framework를 개발하면서 반드시 추가되어야 할 내용이다. 위 내용을 들으면서 잠깐동안 어떻게 구현해야될지를 생각해봤는데, 생각보다 고려..
출처 : http://shonm.tistory.com/entry/JSP-XSS-Filter 웹 페이지 입력 란에 이런 식으로 입력을 하면 입력 정보를 불러 올 때 alert 가 뜨게 될 수 있는데... 이게 악성 스크립트를 전송 하여 클릭 시 PC 의 인증 정보를 수집하여 공격하는 Cross Site Scripting 이 가능 하다고 본다고 한다. 그래서 등을 입력 받지 못하도록 막아야 한다고 대형 사이트의 보안 권고 사항이 나온다. JSP 개발 상황이라면 class 2개 를 만들고 web.xml 에 간단한 filter 추가로 해결 할 수 있다. 일단 servlet-api.jar 파일을 lib 폴더에 넣는다. (tomcat 등에 있다.) 그 다음 class 2 개를 추가 한다. 추가 해야 할 ..
아래 내용은 아직 미 분석 된 내용----------------------------------------------------------------------------------------------------------------------------출처 : http://mimul.com/pebble/default/2009/10/04/1254641100000.htmlCross-Site Scripting (XSS)에대한 방어책은 다양하게 많지만, 그 방어책 중에 하나인 필터를 활용하는 방법을 공유합니다. 참고 소스인 com.josephoconnell.html.HTMLInputFilter.class를 활용한 필터를 만들어 봤습니다. 보안 위협 요소중의 하나인 Cross-Site Scripting (XS..
HTML 출력에 들어가는 Content-Type의 charset을 변조함으로써, XSS 공격에 사용되는 문자열이 XSS차단필터에 의해서 걸리지 않도록 하는 검사회피기술이다. 예를 들어서, 원래의 XSS 공격 문자열이 라고 하자. 그런데, XSS차단필터가 와 같은 문자열을 차단하기 때문에, 이 공격은 성공할 수 없다. 그런데, 만약 서버의 응답 HTML의 Content-Type 선언에서 charset을 변경시킬 수 있다면, 이 XSS차단필터를 통과할 수 있다. 예를 들어, 아래와 같은 문자열은 XSS차단필터에서 보면, 전혀 의미가 없는 문자열일 뿐이다. %A2%BE%BCscript%BEalert(%A2XSS%A2)%BC/script%BE 그렇지만, 위의 문자열을 US-ASCII charset으로 디코딩을 ..