소스코드 점검 시 XSS 취약점 조치 우회방안
- 작성자 :
- 라*주
- 작성일 :
- 2024-04-25 10:30:39
- 조회수 :
- 313
- 구분 :
- 적용지원(기술지원)
- 진행상태 :
- 완료
Q
전자전부 프레임워크에서 가이드하는 게시글 내용 (스마트에디터)가
치환 저장 후 escapeXml="false" 를 하여 표시로 알고있으나,
실제로 XSS가 방어되었더라도 보안성검토 - 소스코드 점검 시에 escapeXml="false" 가 문제가 되어 조치해야하는 상황입니다.
escapeXml="true"를 하면 html special character로 태그로 인식할 방법이 없는 것으로 알고있는데
이에 관련한 유사한 해결 방안이 있는지 아니면 해당 건을 예외처리하는 등 방법을 찾아봐야하는지 문의드립니다.
치환 저장 후 escapeXml="false" 를 하여 표시로 알고있으나,
실제로 XSS가 방어되었더라도 보안성검토 - 소스코드 점검 시에 escapeXml="false" 가 문제가 되어 조치해야하는 상황입니다.
escapeXml="true"를 하면 html special character로 태그로 인식할 방법이 없는 것으로 알고있는데
이에 관련한 유사한 해결 방안이 있는지 아니면 해당 건을 예외처리하는 등 방법을 찾아봐야하는지 문의드립니다.
환경정보
-
- OS 정보 : linux ubuntu
- 표준프레임워크 버전 : 4.1
- JDK(JRE) 정보 : 1.8
- WAS 정보 : ubuntu
- DB 정보 : ubuntu mariadb
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
HTMLTagFilter는
Servlet Filter 레벨에서 구동되므로
브라우저에서 WAS로 요청할때 적용되게 됩니다.
<c:out>의 경우는 View단으로 출력시에 escape처리를 적용하게 됩니다.
2가지 모두 적용 되는 경우가 가장 이상적이고
XSS 방지 처리에 안전하다고 볼수 있습니다.
현재 구현하시는 부분은
특정 부분에 예외를 두는 경우로 보이며
구현 시 다양한 케이스가 발생할수 있으므로
소스코드 보안검사를 진행하는
기관이나 업체와 협의가 필요할 것으로 보입니다.
감사합니다.
표준프레임워크센터입니다.
HTMLTagFilter는
Servlet Filter 레벨에서 구동되므로
브라우저에서 WAS로 요청할때 적용되게 됩니다.
<c:out>의 경우는 View단으로 출력시에 escape처리를 적용하게 됩니다.
2가지 모두 적용 되는 경우가 가장 이상적이고
XSS 방지 처리에 안전하다고 볼수 있습니다.
현재 구현하시는 부분은
특정 부분에 예외를 두는 경우로 보이며
구현 시 다양한 케이스가 발생할수 있으므로
소스코드 보안검사를 진행하는
기관이나 업체와 협의가 필요할 것으로 보입니다.
감사합니다.