웹취약점 파일다운로드
- 작성자 :
- 김*훈
- 작성일 :
- 2020-01-16 11:06:45
- 조회수 :
- 2,112
- 구분 :
- 실행환경
- 진행상태 :
- 완료
Q
웹취약점 보완사항으로 파일다운로드를 웹프록시툴을 이용하여 다운을할수있는데
HTMLTagFilterRequestWrapper 보면
getSafeParamData함수에서
포함된문자열 에서
char c = value.charAt(i);으로
case문으로 문자한개씩 검사를 하여 치환하고있는데
포함된 문자열로는 안되는건가요?
현재) "<", ">", "'" =>한개의 문자 치환
원하는방식 ) "/.." =>여러개의 문자가 포함된 것 치환
이문자가 포함되있으면.. 치환 하고싶은데 공통컴포넌트에는 따로구현된건 없을까요?
HTMLTagFilterRequestWrapper 보면
getSafeParamData함수에서
포함된문자열 에서
char c = value.charAt(i);으로
case문으로 문자한개씩 검사를 하여 치환하고있는데
포함된 문자열로는 안되는건가요?
현재) "<", ">", "'" =>한개의 문자 치환
원하는방식 ) "/.." =>여러개의 문자가 포함된 것 치환
이문자가 포함되있으면.. 치환 하고싶은데 공통컴포넌트에는 따로구현된건 없을까요?
A
안녕하세요.
표준프레임워크센터 입니다.
공통컴포넌트에 추가된
HTMLTagFilterRequestWrapper 클래스는
특정한 문자인지 확인하여 치환하거나
특정한 태그인지 식별하는 기능을 구현하고 있습니다.
원하시는 문자열 유형인 경우 치환하는 것은
기본적으로 제공 해드리는 것은 없습니다.
기존 배포된 소스를 수정하셔야 할듯 합니다.
감사합니다.
표준프레임워크센터 입니다.
공통컴포넌트에 추가된
HTMLTagFilterRequestWrapper 클래스는
특정한 문자인지 확인하여 치환하거나
특정한 태그인지 식별하는 기능을 구현하고 있습니다.
원하시는 문자열 유형인 경우 치환하는 것은
기본적으로 제공 해드리는 것은 없습니다.
기존 배포된 소스를 수정하셔야 할듯 합니다.
감사합니다.