그누보드 QA - jsp 홈페이지 질문하나 드립니다.

jsp 홈페이지 질문하나 드립니다.

테스팅 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

2023.12.18 09:36:00 965 (39.♡.♡.21)

본문

이번에 jsp 사이트를 하나 유지보수 하기로 되가지구 관리하고있는데요! 최근에 xss 보안강화하라고 메일이 왔더라고요! 원인은 url로 스크립트 실행이 가능하다 이 내용이구요! 확인해봤더니 url에 <script>alert('1');</script> 이런식으로 넣으면 스크립트가 실행되더라고요.. ex) test.com?<script></script>

아래 소스는 검색페이지 소슨데요! 여기서는 <, > 툭수문자를 치환해서 html로 뿌려지지않게 수정을 해놓은 부분입니다.


/* 추가 화면 오픈 함수 */
    @GetMapping(value = "/search/result.do")
    public String noticeAdd(Model model, HttpServletRequest request) throws SQLException, Exception {
        MenuVO menuVO = new MenuVO();
        NoticeVO noticeVO = new NoticeVO();
        ContentsVO contentsVO = new ContentsVO();
        
        model = controller.sideMenu(request, model, menuVO, "search", "result");
        
        //웹페이지 검색결과
        contentsVO.setContents(paramTagReplace(request.getParameter("totalKeyword")));
        
        int contentsCnt = contentsService.searchContentsCount(contentsVO);
        model.addAttribute("contentsList", contentsService.searchContentsList(contentsVO));
        model.addAttribute("contentsCnt", contentsCnt);
        
        //게시물 검색결과
        noticeVO.setNoTitle( paramTagReplace(request.getParameter("totalKeyword")));
        noticeVO.setNoStat("0010");
        noticeVO.setPageIndex(0);
        noticeVO.setPageSize(0);
        noticeVO.setAdd1("search");
        
        int noticeCnt = noticeService.count(noticeVO);
        model.addAttribute("noticeList", noticeService.selectList(noticeVO));
        model.addAttribute("noticeCnt", noticeCnt);
        
        //이미지 검색결과
        noticeVO.setAdd1( paramTagReplace(request.getParameter("totalKeyword")));
        
        int imgCnt = noticeService.searchImgCount(noticeVO);
        model.addAttribute("imgList", noticeService.searchImgList(noticeVO));
        model.addAttribute("imgCnt", imgCnt);
        
        int totalCnt = contentsCnt + noticeCnt + imgCnt;
        model.addAttribute("totalKeyword", paramTagReplace(request.getParameter("totalKeyword")));
        model.addAttribute("totalCnt", totalCnt+"");
        
        return "jam_search_result";
    }
    
    // 크로스사이트스크립트(XSS) 방지
    private String paramTagReplace(String paramString) {
        paramString = paramString.replaceAll("<", "<");
        paramString = paramString.replaceAll(">", ">");
        return paramString;
    }
    
}

// 크로스사이트스크립트(XSS) 방지 부분에 replaceAll 부분은 < = lt;, > = gt; 로 치환한부분입니다.

그런데 검색페이지 말고 그냥 홈페이지 어느페이지에서든 url로 스크립트를 입력해버리면 사용이 되버리네요.. 혹시 서버문제일까요.. 해경방법이 궁금합니다.

서버는 centos7입니다.

#jsp #centos7 #xss

답변 2

플라이 홈페이지 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

2023-12-18 11:21:04 49.♡.♡.27

태그 변환은 되었는데 이곳에 직접코드로 적어보니 그대로 반영되어 보이는군요 ㅎ
paramTagReplace 부분을 해당 변수를 받아올때 정상적으로 처리는 되었을까요?

↳ 테스팅 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색

2023-12-19 09:55:06125.♡.♡.5

네네 치환은 <, >로 잘 되고있어요 결과페이지에서 텍스트로 추출해도 잘 치환되어서 나오구요! 근데 문제자체가 검색페이지랑은 별개로 그냥 도메인 뒤에 test.com?<script>alert("1");</script> 이런식으로만 접속해도 스크립트가 실행되는게 문제인거같아요 ㅠㅠ 원인을 알수가 없네여

웅프 홈페이지 자기소개 전체게시물 회원게시물 회원 질문검색 회원 답변검색 회원 댓글검색 님의 답변

2023-12-18 10:58:45 110.♡.♡.60

자바에서는 < 를 & lt;로 > 를 & gt;로 치환하여 안전하게 표시 해주셔야합니다.

1848553276_1702865226.256.png

답변을 작성하시기 전에 로그인 해주세요.

전체 0

QA

본문

이 질문에 댓글 쓰기 :

답변 2