웹 개발을 진행하다보면 수많은 취약점공격을 대비하면서 개발을 진행해야 합니다.
개인정보를 탈취하거나 해킹, 계정 도용, 잘못된 수정이나 악의적인 페이지로 강제 이동하는 현상 등등 많은 이슈들을 사용자가 겪을 수 있거나 고객사쪽 데이터에도 큰 문제를 일으킬 수 있기 때문입니다.😱
이를 방어하기 위해 회사 동료분들과 공통으로 사용할 필터나 인터셉터등을 작성하여 공격을 방어해보았지만, 새로운 기술이나 방법을 통해 다양한 방식의 공격에서 취약해지는 현상을 발견했고, 이를 보완하고자 추가 개발을 해야할지 다른 라이브러리르 적용해볼지 찾아보다가 시간상의 어려움으로 네이버의 lucy필터라는걸 알게되어 이번에 적용을 하게 되었습니다. 네이버는 기존에 lucy-xss-filter라는 라이브러리를 제공하였는데, 해당 라이브러리도 취약한 부분이 발생하여 해결책으로 만든 라이브러리가 lucy-xss-servlet-filter입니다.
특징으로는 모든 xss공격으로 의심되는 패턴을 제거하는게 아니라 필터링(치환)이되어 컨트롤러에 도착했을때는, 다른값으로 이미 변경이되어 있습니다.
네이버측에서도 이러한 문제가 발생하여 기존에 잘 동작하던 소스가 문제가 생길수 있으므로, 새로운 프로젝트에 적용하는걸 추천하고 있습니다.
또한 직접 적용해보니 json형태의 문제와 multipart는 필터링이 안되어 전송되는 현상등이 발생하여 이러한 부분들을 해결한 포스팅은 추후 작성되면 하단에 링크를 걸어두도록 하겠습니다.
▼▼▼아래 글은 spring에서 lucy-xss-servlet-filter적용하는 방법을 포스팅했습니다.
https://myhappyman.tistory.com/253
XSS - Spring lucy servlet filter 적용하기
적용은 차근차근 따라오면 크게 어렵지 않게 적용이 가능합니다. maven을 통해 적용합니다. 프로젝트에 lucy적용하기 pom.xml com.navercorp.lucy lucy-xss-servlet 2.0.1 다음은 필터를 프로젝트에 설정해주어
myhappyman.tistory.com
▼▼▼아래 링크는 네이버 lucy 깃허브 url입니다.
https://github.com/naver/lucy-xss-servlet-filter
GitHub - naver/lucy-xss-servlet-filter
Contribute to naver/lucy-xss-servlet-filter development by creating an account on GitHub.
github.com
'WEB > Spring' 카테고리의 다른 글
| Spring - 스프링 어떻게 동작할까? (0) | 2022.03.17 |
|---|---|
| XSS - Spring lucy servlet filter 적용하기 (0) | 2021.11.12 |
| Log4j2 설정하기(년/월/일자별로 로그 생성하기) (0) | 2021.08.05 |
| egov - 전자정부 프레임워크 및 톰캣, 자바 버전업하기(error 대처 - ASM ClassReader failed to parse class file) (0) | 2021.08.04 |
| Spring - 구동 중인 서버의 절대경로 구하기(getReadlPath) (0) | 2021.07.02 |