재질문 ) pagination(ui tag lib) 에 대한 웹취약성 관련 질문 입니다.
- 작성자 :
- 원*진
- 작성일 :
- 2018-09-19 10:02:22
- 조회수 :
- 2,261
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
2018-09-18 일자로
<pagination(ui tag lib) 에 대한 웹취약성 관련 질문 입니다.> 라는 제목으로 문의 드렸던 질문자 입니다.
답변내용을 확인하였으나 HTMLTagFilter 의 경우는 이미 등록되어 있습니다.
또한 제 질문의 요지는 jsp 에서 Fasoo 닷컴의 Sparrow 시큐어 코딩 툴 검증 결과
<ui:pagination paginationInfo="${paginationInfo}" type="image" jsFunction="movePage" />
이 소스(태그) 자체가 xss_attribute 의 취약성에 걸렸다고 결과가 나와서 질문을 드립니다.
1. 해당 태그는 xss_attribute 취약점(시큐어 코딩)에 위배되지 않는게 명확한지 여부
2. 만약 명확하지 않다면 xml 에 필터를 추가하는 문제가 아닌 해당 태그 자체에서 시큐어 코딩 조치 하는 방법
(ex ) ${abc} 출력시 ==> 시큐어 코딩 적용 <c:out value = '${abc}" />
참고) 아래는 이전 질문에 대한 답변 내용입니다.
== 답변 ==
안녕하세요.
표준프레임워크센터 입니다.
표준프레임워크에는 HTMLTagFilter라는 것이 있습니다.
web.xml에 필터로 등록하면 서블릿단에서
XSS문자를 변환하는 기능을 제공하고 있습니다.
HTMLTagFilter태그 필터를 적용하는것으로
조치방안으로 제시하시면 어떻까 합니다.
감사합니다.
<pagination(ui tag lib) 에 대한 웹취약성 관련 질문 입니다.> 라는 제목으로 문의 드렸던 질문자 입니다.
답변내용을 확인하였으나 HTMLTagFilter 의 경우는 이미 등록되어 있습니다.
또한 제 질문의 요지는 jsp 에서 Fasoo 닷컴의 Sparrow 시큐어 코딩 툴 검증 결과
<ui:pagination paginationInfo="${paginationInfo}" type="image" jsFunction="movePage" />
이 소스(태그) 자체가 xss_attribute 의 취약성에 걸렸다고 결과가 나와서 질문을 드립니다.
1. 해당 태그는 xss_attribute 취약점(시큐어 코딩)에 위배되지 않는게 명확한지 여부
2. 만약 명확하지 않다면 xml 에 필터를 추가하는 문제가 아닌 해당 태그 자체에서 시큐어 코딩 조치 하는 방법
(ex ) ${abc} 출력시 ==> 시큐어 코딩 적용 <c:out value = '${abc}" />
참고) 아래는 이전 질문에 대한 답변 내용입니다.
== 답변 ==
안녕하세요.
표준프레임워크센터 입니다.
표준프레임워크에는 HTMLTagFilter라는 것이 있습니다.
web.xml에 필터로 등록하면 서블릿단에서
XSS문자를 변환하는 기능을 제공하고 있습니다.
HTMLTagFilter태그 필터를 적용하는것으로
조치방안으로 제시하시면 어떻까 합니다.
감사합니다.
A
안녕하세요.
표준프레임워크센터 입니다.
정적분석도구는
코드만 가지고 판정을 하기 때문에
로직에 대한 처리를 판단하지 못하는 단점이 있습니다.
문의 하신 부분에서 <c:out> 으로 처리하면
XSS문자열에 대한 Escape처리가 되는것은 맞습니다.
${abc}로 출력했다고 해도
Filter로 공통처리를 할수도 있고 XSS를 방지하면 될듯 합니다.
$pagination출력부분은 페이징을 위한
페이지 갯수등을 갯수정보를 전달하고 있을 뿐입니다.
해당 코드 부분에 XSS를 처리하는 로직이 없다고 하여
취약점이 있다고 판정하는 것은 합당하지 않은듯 합니다.
Filter로 처리하거나 Naver Lucy를 적용하는 방법도 있을듯 합니다.
따라서 점검업체와 협의를 해보셔야 할듯 합니다.
감사합니다.
표준프레임워크센터 입니다.
정적분석도구는
코드만 가지고 판정을 하기 때문에
로직에 대한 처리를 판단하지 못하는 단점이 있습니다.
문의 하신 부분에서 <c:out> 으로 처리하면
XSS문자열에 대한 Escape처리가 되는것은 맞습니다.
${abc}로 출력했다고 해도
Filter로 공통처리를 할수도 있고 XSS를 방지하면 될듯 합니다.
$pagination출력부분은 페이징을 위한
페이지 갯수등을 갯수정보를 전달하고 있을 뿐입니다.
해당 코드 부분에 XSS를 처리하는 로직이 없다고 하여
취약점이 있다고 판정하는 것은 합당하지 않은듯 합니다.
Filter로 처리하거나 Naver Lucy를 적용하는 방법도 있을듯 합니다.
따라서 점검업체와 협의를 해보셔야 할듯 합니다.
감사합니다.