특수문자 치환 취약점 조치시 데이터 저장 문의
- 작성자 :
- b******y
- 작성일 :
- 2021-02-26 10:24:45
- 조회수 :
- 4,176
- 구분 :
- 운영환경
- 진행상태 :
- 완료
Q
먼저, 저는 개발자가 아닙니다..!
상황으로만 설명을 드리자면,
홈페이지에서 취약점 점검시 특수문자를 이용한 XSS 취약점이 확인되어
해당 취약점을 조치하면서 전역 설정으로 replace하도록 설정 되었습니다.
이 과정에서 변형되지 않아야 할 입력 데이터(주소)도 치환되어 저장되고 있습니다. (() 괄호 문자 치환)
우선은 괄호를 치환 대상에서 제외하였는데, 전자정부 프레임워크로 XSS 취약점 조치시
어떤 방법으로 적용하는게 최선일까요?
XSS filter를 적용하는것도 확인은 되는데 그러면 위와 같이 데이터 변형이 이루어지리라 봅니다
저장시에는 치환했던것을 원래값으로 저장하도록 코딩할 수 있나요?
무지한 질문이지만... 여기 밖에 질문할곳이 없네요 ㅜ
상황으로만 설명을 드리자면,
홈페이지에서 취약점 점검시 특수문자를 이용한 XSS 취약점이 확인되어
해당 취약점을 조치하면서 전역 설정으로 replace하도록 설정 되었습니다.
이 과정에서 변형되지 않아야 할 입력 데이터(주소)도 치환되어 저장되고 있습니다. (() 괄호 문자 치환)
우선은 괄호를 치환 대상에서 제외하였는데, 전자정부 프레임워크로 XSS 취약점 조치시
어떤 방법으로 적용하는게 최선일까요?
XSS filter를 적용하는것도 확인은 되는데 그러면 위와 같이 데이터 변형이 이루어지리라 봅니다
저장시에는 치환했던것을 원래값으로 저장하도록 코딩할 수 있나요?
무지한 질문이지만... 여기 밖에 질문할곳이 없네요 ㅜ
A
안녕하세요
표준프레임워크 센터입니다.
문의 주신 내용을 단적으로 설명 드리기 어려운 부분이 있습니다.
뷰단에서 XSS를 방지하기위한 목적이기는 하나
사이트의 상황에 따라 변환 시점이 달라야 하는 경우도 있을 수 있어 정확히는 말씀을 드리기 어려운 부분이 있습니다.
html special character로 변환되는 c:out나 fn:escapeXml()등 태그라이브러리를 사용하시는 경우도 있는데
상황에 따라 사용이 불가능 하실 때도 있을 수 있습니다.
표준프레임워크에서는 HTMLTagFilter 사용하고 있으니
센터에서 제공하는 공통컴포넌트에서 확인을 해 보시면 도움이 되실 듯 합니다.
감사합니다.
표준프레임워크 센터입니다.
문의 주신 내용을 단적으로 설명 드리기 어려운 부분이 있습니다.
뷰단에서 XSS를 방지하기위한 목적이기는 하나
사이트의 상황에 따라 변환 시점이 달라야 하는 경우도 있을 수 있어 정확히는 말씀을 드리기 어려운 부분이 있습니다.
html special character로 변환되는 c:out나 fn:escapeXml()등 태그라이브러리를 사용하시는 경우도 있는데
상황에 따라 사용이 불가능 하실 때도 있을 수 있습니다.
표준프레임워크에서는 HTMLTagFilter 사용하고 있으니
센터에서 제공하는 공통컴포넌트에서 확인을 해 보시면 도움이 되실 듯 합니다.
감사합니다.