Q&A
커뮤니티
지식
이벤트
더보기
OKKY
Q&A
지식
커뮤니티
이벤트
부트캠프
Jobs
Contact
Search Bar
로그인
회원가입
xss
전체
기술
커리어
기타
카테고리
전체
최신순
질문하기
답변
3
언제나처음처럼
·
1년 이상
469
0
답변 3
XSS 필터 치환 문제
안녕하세요 XSS 필터로 인해 치환된 데이터의 사용에 대해 문의 드립니다. 대부분 웹 개발을 하시다보면 XSS필터로 인해 ', ", <, > 등을 서버로 입력받을 때 ', ", <, > 로 치환되는 경험을 하셨을 겁니다. 보통 서버에서 치환된 데이터를 그대로 DB로 저장하시는지 ', ", <, >을 다시 '
답변
0
Incredible
·
1년 이상
387
0
답변 0
multipart/form-data 태그에 스크립트 공격 해결 여부 관련 질문드립니다.
안녕하세요. 현재 해당건에 대해서 조치여부 답변을 타기관에 해야되는데 궁금한 점이 있어서 기술란에 질문올립니다. <form enctype="multipart/form-data"> 스크립트 공격이 들어오는 경우 웹 프록시 툴로 Content-Type을 multipart/form-data 변경 후 스크립트 알럿트(script alert) 구문 입력하면 alert 이 뜨는 경우는 막아야 되는 경우인데요. org.spri
답변
2
초보개발자111
·
거의 2년
286
0
답변 2
CSP만 사용하면 xss 공격 방지 될까요? 다들xss 방어 어떻게하시나요?
예전에는 네이버 Lucy 사용했던것같은데 <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; object-src 'none';" 요즘에는 위처럼 태그만 추가하시나요? 아니라면 xss방지 다들 어떻게하세요?
답변
2
DoharuPark
·
거의 2년
238
0
답변 2
XSS 관련질문
안녕하세요 xss 관련하여 질문 있습니다. db에 &lt;&lt;테스트&gt;&gt; 형태로 저장되어 있는 데이터를 jsp에서 <c:out escapeXml="false" value="${result.content}"> 통해 출력했을때 <div>테스트</div> 이렇게 태그 그대로 출력되는 이유가 무엇일까요 ㅠ 해결방법
답변
0
IT 관리자
·
약 2년
324
0
답변 0
IFRAME XSS(크로스사이트) 취약점 예외 방법 문의
안녕하세요. 회사에서 IT관련 업무를 담당하고 있습니다. 현재 그룹웨어랑 HR시스템을 인터페이스 하는 작업을 진행중입니다. 그룹웨어에서 HR시스템으로 SSO 로그인은 되었습니다. 다만 그룹웨어에서 HR시스템의 출/퇴근 타각하는 웹화면을 불러와서 그룹웨어 메인화면 포틀릿(ifrmae 형식)에 표시하고 싶은데 세션이 끊겨버립니다. 기존에 HR시스템은 같은 그룹내부망에 있어서 그런지 가능했는데 이번 HR시스템은 외부 SaaS 여서 그런지 끊깁니다. HR
답변
1
눈썹왕
·
약 2년
329
1
답변 1
XSS 처리할때 표준이 있을까요?
안녕하세요 XSS 공격 방어코드를 개발할때 화면에서 jstl 이나 기타방법으로 스크립트가 실행안되게 하는 방법과 DB에 위협이 되는 태그들을 치환을 해서 넣는 방법중 어떤방식이 좀더 좋은방식일까요?
답변
3
czmn
·
2년 이상
541
0
답변 3
multipart/form-data데이터의 xss처리 방법에대해 질문있습니다.
리액트와 스프링부트로 웹 페이지 개발을 진행 중입니다. 게시판 형태의 화면(제목, 게시글 내용, 첨부파일)이 있을때 axios를 통해 Content-Type을 multipart/form-data로 서버에 전송합니다. 이때 form-data에는 첨부파일과 게시글의 제목과 내용등이 함께 전송됩니다. 서버에서는 해당 데이터를 받고 filter에서 xss처리를 진행하고자 합니다. 구글을 통해 filter에서 getInputstream으로 데이터를 받아 처
답변
1
왓따!
·
2년 이상
418
0
답변 1
Spring XSS 방지를 위한 lucy 필터(com.navercorp.lucy) 기능에 관해서
안녕하세요. xss 필터를 네이버에서 제공해주는 lucy-xss-servlet-filter 를 적용하였습니다. 기능에 대해서 문의를 드립니다. request 로 들어오는 데이터는 필터링을 통해 치환이 잘됩니다. 그런데!, request 로 들어오는 데이터 말고 DB 조회를 해서 화면에 뿌려줄 때에 (response가 되겠죠) 는 필터가 먹지를 않습니다. 문의1) DB 값 자체에 scrpit 가 저장되어 있고, modelandview 를 통해 화면
답변
0
czmn
·
2년 이상
290
0
답변 0
xss방지를 위한 html 태그 필터링 관련하여 질문있습니다.
게시판 기능 구현 중 xss 방지를 위해 html 태그를 필터링 해야 하는데 몇가지 헷갈리는게 있어서 질문드립니다. 현재 프론트단은 react, 백단은 스프링부트로 구성되어있습니다. 에디터는 섬머노트를 사용하는데 섬머노트를 통해 사용자가 게시글을 입력하면 html태그와 같이 입력되고 서버로 전송 시 사용자가 입력한 텍스트와 html태그가 텍스트 형태로 넘어갑니다. 어차피 모든 데이터는 서버를 거쳐 데이터에 저장될텐데 프론트쪽은 제외하고 서버에서만 필
답변
1
minjoon222
·
2년 이상
404
0
답변 1
안녕하세요. Lucy-Xss-Servlet-Filter 는 spring에서만 적용이 되는건가요?
안녕하세요. 지금 유지보수 맡고 있는 프로젝트가 xss보안 취약점에 걸려서 보완을 하라고 요청이 들어왔습니다. lucy-xss-servlet-filter를 적용하고 싶은데. 스프링, 전자정부 기반으로 되어있는 프로젝트가 아니어서 pom.xml 파일이 없습니다.. 그냥 화면 단 jsp에서 jsp로 코드 값을 넘기면 그 코드 값을 보고 service로 가고 dao에 있는 쿼리를 실행시키는 구조입니다. 이런 경우에는 lucy-xss-servlet-fil
답변
1
이지동
·
2년 이상
236
0
답변 1
XSS 처리된 데이터를 js 단에서 받아 화면을 그릴 때 원리
DB에는 값이 <, > 등의 문자가 < , > 와 같이 변환된 형태로 저장된 상태이고, 이를 js에서 변환된 형태 그대로 조회 중입니다. 예를 들면 js에서 result.prdtCd = "<script>" 과 같은 형태로 말이죠. 이 값으로 화면을 그리는데, var button = "<button onclick='selectPrdtDet
답변
0
brd37
·
2년 이상
225
0
답변 0
XSS 적용시 파일 2mb 이상 적용 안되는이유?
web.xml 추가 <filter> <filter-name>multipartFilter</filter-name> <filter-class>org.springframework.web.multipart.support.MultipartFilter</filter-class> </filter> <filter-mapping> <filter-name>multipar
답변
0
열심히하는초보
·
거의 3년
321
0
답변 0
XSS 취약점 조치 질문
안녕하세요, 초보 개발자입니다. 현재 운영중인 서비스의 취약점 조치 중인데 궁금한 점이 생겨 질문드려요. XSS 취약점 조치 중이며 게시글 작성 시 DB에 데이터 넣을 때 < >등등 특수문자들을 엔티티 타입으로 변환해서 넣고 있습니다. 문제는 화면에 게시글 내용을 뿌려줄 때 다시 태그로 변환을 해서 XSS 취약점이 걸렸는데, 게시글 작성에 ckEditor를 사용해서 내용을 c:out으로 뿌려줄 수가 없는 상황입니다. 화면에 내용을 뿌려
답변
2
코미
·
거의 3년
280
0
답변 2
보통 태그를 허용해야 하는 경우 XSS 공격을 어떻게 처리하나요?
안녕하세요. editor를 이용해서 게시판 부분을 구현 중에 xss 공격을 어떻게 처리해야 할 지에 대해서 고민하다 막혀 질문드립니다. 태그를 허용하지 않는 경우 괜찮은 filter 라이브러리를 사용해서 전부 막아버리면 좀 나을 것 같은데 기본적인 태그는 물론 img나 iframe media태그 등을 허용해야 하는 상황에서 xss 공격을 어떻게 막아야 할 지 감이 오지 않습니다..ㅠ OKKY를 포함한 일반적인 커뮤니티 사이트를 보면 대부분 게시글
답변
1
왕초보개발자12
·
거의 3년
226
0
답변 1
git 소스코드 실행 문제.. 도와주세요!ㅠㅠ
프로젝트때문에 SQLInjection이나 XSS를 실습할 수 있는 웹을 구축해야 하는 상황이라 https://github.com/brombaut/XSS_SQLInjection_Vulnerabilities 이 사이트에서 제공해주는 웹을 사용하려고 하는데 어떻게 실행 시키는지 모르겠네요.. 혹시 도와주실 수 있나요? 혹은 SQL Injection, XSS가 적용되는 웹 소스코드 추천해주실 수 있나요?
답변
1
boripapa
·
거의 3년
288
0
답변 1
xss 공격
텍스트 에디터를 사용해서 게시글의 내용을 입력하는 기능에서 내용을 html 혹은 markdown 형태로 저장 요청하고 서버는 sanitizer로 xss 공격 코드를 제거할때 사용자가 악의적인 의도가 없이 작성한 내용에 <script>와 같은 코드도 삭제가 되는 것을 해결할 방법이 있을까요?
답변
0
박대성29
·
약 3년
441
0
답변 0
[SPRING, LUCY XSS FILTER] 웹 취약점으로 이것저것 시도 해보고있습니다.
원래 만들어논 xssFilter가 있어서 사용중이였는데 웹취약점에 걸렸습니다. 게시판쪽인데 '네이버 SMART EDITOR' 적용되어있구요. 취약점 사항은 stored xss 인데, 아맏 reflect도 동시에 걸렸을거 같아요. 원래 필터에서 script, javascript등등 해놨는데 '<' '>' 는 필터링을 안되고 있더라구요. 꺽쇄들은 필터링이 안되어있길래 추가를 해주면서 stored 는
답변
1
박대성29
·
약 3년
2.6k
0
답변 1
[웹취약점, SmartEditor] XSS Filter를 적용했는데 게시판이 문제에요 없애는게 답일까요?
이번에 웹취약점 검사를해서 수정을 진행중입니다. 파라미터로 스크립트가 날아오는걸 방지하기위해서 < , > 를 각각 <, > 로 변경 후 DB에 저장되도록 필터를 추가했습니다. 다른 곳 들은 C:OUT 으로 처리하니, 상관이 없는데 Smart Editor를 사용하는 게시판이 문제에요. 폰트나 컬러같은 스타일 태그들은 제외하고 필터링 할 방법이 있을까요? *시도한 방법 html에 뿌려주기 전 게시글의 < , &
답변
0
호떡기계
·
약 3년
705
0
답변 0
ssl 400 bad request blocked
안녕하세요 400 bad request 에 대해 여쭤보고 싶은게 있어서요..현재 상용중인 서버 게시판이 quill.js 적용중 입니다.xss방지용으로 서비스단에서 '< , & , sciprt, / , >' 따위의 단어가 인서트로 들어오면 화이트리스트 제외, 문자열을 특수문자로 치환에서 디비에 쌓아주고 있습니다.로컬이나 상용서버의 아이피주소(ssl미적용) 로 접근시 테스트하면
답변
3
혹사코어
·
3년 이상
443
0
답변 3
XSS(크로스사이트 스크립팅) 보완하는 방법
현재 Spring 레거시 프로젝트에 크로스사이트스크립팅 이슈가 확인되어서파라미터 값중 특정 특수문자에 대한 치환작업이 필요한데요궁금한게 있어서 질문 드립니다 ㅠㅠ컨트롤러, JSP 영역이 있다면 이 URL 파라미터 값에대한 처리는 어디서 이루어져야 할까요?1. 컨트롤러에서 view로 넘기기 전에 처리후 넘긴다.2.JSP 파일에서 페이지 호출전에 파라미터값을 치
이전
1
2
3
4
다음
Search Bar
