2024-12-31(화)
1. CASE
프로젝트가 어느 정도 완성이 되어 전체적으로 취약점은 없는지 프로그램을 이용해서 점검을 했다. 점검하는 과정은 간단했지만 이 프로그램을 사용할 누군가와 언젠가는 다시 사용할 나를 위해 작성해 본다.
2. How to Use
1) 프로그램 : 스패로우(SPARROW)
2) 사용 가이드
*공식 사이트 https://docs.app.sparrowcloud.ai/user-guide.html
[ 소스 취약점 ]
① SPARROW 로그인
② 좌측 상단의 [목록] - 새 프로젝트 만들기(점검한 적이 있는 프로젝트라면 해당 프로젝트 경로에서 src 폴더만 추가하면 됨)
③ 프로젝트 키 입력(또는 자동) - 상위 프로젝트 선택 - [추가]
④ [분석 대상]에 src 폴더 경로 추가 - [저장 후 분석 시작]
*소스 취약점 보고서는 [↗](분석 요약으로 이동)을 눌러 [이슈 목록] 탭의 [내보내기]를 누르면 받을 수 있음
[ 웹 취약점 ]
① SPARROW 로그인
② Sparrow DAST NEW - [만들기] - [새 프로젝트 추가]
③ 프로젝트명 입력 / 체커 그룹 : 그룹명 입력 / URL : (점검할 프로젝트 페이지 URL 입력) - 추가 - 분석 시작
④ 우측 상단의 [보고서 내보내기]
3. 취약점 조치 코드 (보안상 약간의 코드 수정)
웹 취약점을 돌린 결과, 보완해야 할 부분이 나와 조치한 내용이다.
1) jsp에 css가 같이 작성되어 있어서 css를 분리하고 jsp에 import를 함
2) 코드 추가
request.setCharacterEncoding("UTF-8");
response.setHeader("Pragma","no-cache");
response.setHeader("Set-Cookie", "Secure; HttpOnly");