반응형

참고 : http://airlee00.blogspot.kr/2013/11/esapi-xss-sql-injection.html

esapi-2.1.0.jar

esapi-2.1.0.jar

소스코드 일부

1
2
3
4
5
6
7
8
9
10
11
12
13
// board.content 에 <script>alert("1");<script> 저장
public Board setBoard(Board board, HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException{
    try{
        board.setName(request.getParameter("name"));
        board.setPassword(request.getParameter("password"));
        board.setTitle(request.getParameter("title"));
//        board.setContent(request.getParameter("content")); // 필터 없이 그대로 저장
        board.setContent(ESAPI.encoder().encodeForHTML(request.getParameter("content"))); // <. >, ", (,),/ 필터링 후 저장
    }catch(NullPointerException e){
        error("Null 값이 있습니다.", request, response);
    }
    return board;
}
cs

ESAPI.properties

1
2
3
4
5
Authenticator.UsernameParameterName=userName
Authenticator.PasswordParameterName=password
ESAPI.Authenticator=com.esapi.authenticator.CustomAuthenticator
Authenticator.IdleTimeoutDuration=100000
Authenticator.AbsoluteTimeoutDuration=100000
cs


반응형

'IT > 언어' 카테고리의 다른 글

JDBC 설정  (0) 2014.06.19
[MyBatis] SqlSessionFactory  (0) 2014.06.19
시큐어 코딩 가이드  (0) 2014.05.29
ByteUtil.java  (0) 2014.05.29
RSA 암호화  (0) 2014.05.29
반응형

안행부 링크

반응형

'IT > 언어' 카테고리의 다른 글

[MyBatis] SqlSessionFactory  (0) 2014.06.19
[LIB] ESAPI 로 XSS 방어  (0) 2014.05.30
ByteUtil.java  (0) 2014.05.29
RSA 암호화  (0) 2014.05.29
Servlet Encoding Filter  (0) 2014.05.21
반응형

ByteUtil.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
public class ByteUtil {
 
    //public static Byte DEFAULT_BYTE = new Byte((byte) 0);
 
    /**
     * 문자열을 바이트로 변환한다.
     * 
     *  ByteUtils.toByte("1", *) = 0x01 ByteUtils.toByte("-1", *) = 0xff
     *  ByteUtils.toByte("a", 0x00) = 0x00 
     * 
     * @param value 10진수 문자열 값
     * @param defaultValue
     * @return
     */
    public static byte toByte(String value, byte defaultValue) {
        try {
            return Byte.parseByte(value);
        }
        catch (Exception e) {
            return defaultValue;
        }
    }
 
    /**
     * 문자열을 바이트로 변환한다.
     * 
     * ByteUtils.toByteObject("1", *) = 0x01 
     * ByteUtils.toByteObject("-1", *) = 0xff 
     * ByteUtils.toByteObject("a", 0x00) = 0x00  
     * 
     * @param value 10진수 문자열 값
     * @param defaultValue
     * @return
     */
    public static Byte toByteObject(String value, Byte defaultValue) {
        try {
            return new Byte(value);
        }
        catch (Exception e) {
            return defaultValue;
        }
    }
 
    /**
     * singed byte를 unsinged byte로 변환한다. 
     * Java에는 unsinged 타입이 없기때문에, 
     * int로 반환한다.(b & 0xff)
     * 
     * @param b singed byte
     * @return unsinged byte
     */
    public static int unsignedByte(byte b) {
        return b & 0xFF;
    }
 
    /**
     * 입력한 바이트 배열(4바이트)을 int 형으로 변환한다.
     * 
     * @param src
     * @param srcPos
     * @return
     */
    public static int toInt(byte[] src, int srcPos) {
        int dword = 0;
        for (int i = 0; i < 4; i++) {
            dword = (dword << 8+ (src[i + srcPos] & 0xFF);
        }
        return dword;
    }
 
    /**
     * 입력한 바이트 배열(4바이트)을 int 형으로 변환한다.
     * 
     * @param src
     * @return
     */
    public static int toInt(byte[] src) {
        return toInt(src, 0);
    }
 
    /**
     * 입력한 바이트 배열(8바이트)을 long 형으로 변환한다.
     * 
     * @param src
     * @param srcPos
     * @return
     */
    public static long toLong(byte[] src, int srcPos) {
        long qword = 0;
        for (int i = 0; i < 8; i++) {
            qword = (qword << 8+ (src[i + srcPos] & 0xFF);
        }
        return qword;
    }
 
    /**
     * 입력한 바이트 배열(8바이트)을 long 형으로 변환한다.
     * 
     * @param src
     * @return
     */
    public static long toLong(byte[] src) {
        return toLong(src, 0);
    }
 
    /**
     * int 형의 값을 바이트 배열(4바이트)로 변환한다.
     * 
     * @param value
     * @param dest
     * @param destPos
     */
    public static void toBytes(int value, byte[] dest, int destPos) {
        for (int i = 0; i < 4; i++) {
            dest[i + destPos] = (byte) (value >> ((7 - i) * 8));
        }
    }
 
    /**
     * int 형의 값을 바이트 배열(4바이트)로 변환한다.
     * 
     * @param value
     * @return
     */
    public static byte[] toBytes(int value) {
        byte[] dest = new byte[4];
        toBytes(value, dest, 0);
        return dest;
    }
 
    /**
     * long 형의 값을 바이트 배열(8바이트)로 변환한다.
     * 
     * @param value
     * @param dest
     * @param destPos
     */
    public static void toBytes(long value, byte[] dest, int destPos) {
        for (int i = 0; i < 8; i++) {
            dest[i + destPos] = (byte) (value >> ((7 - i) * 8));
        }
    }
 
    /**
     * long 형의 값을 바이트 배열(8바이트)로 변환한다.
     * 
     * @param value
     * @return
     */
    public static byte[] toBytes(long value) {
        byte[] dest = new byte[8];
        toBytes(value, dest, 0);
        return dest;
    }
 
    /**
     * 8, 10, 16진수 문자열을 바이트 배열로 변환한다. 
     * 8, 10진수인 경우는 문자열의 3자리가, 16진수인
     * 경우는 2자리가, 하나의 byte로 바뀐다.
     * 
     * ByteUtils.toBytes(null) = null
     * ByteUtils.toBytes("0E1F4E", 16) = [0x0e, 0xf4, 0x4e] 
     * ByteUtils.toBytes("48414e", 16) = [0x48, 0x41, 0x4e]
     * 
     * 
     * @param digits 문자열
     * @param radix 진수(8, 10, 16만 가능)
     * @return
     * @throws NumberFormatException
     */
    public static byte[] toBytes(String digits, int radix) throws IllegalArgumentException, NumberFormatException {
        if (digits == null) { return null; }
        if (radix != 16 && radix != 10 && radix != 8) { throw new IllegalArgumentException("For input radix: \"" + radix + "\""); }
        int divLen = (radix == 16) ? 2 : 3;
        int length = digits.length();
        if (length % divLen == 1) { throw new IllegalArgumentException("For input string: \"" + digits + "\""); }
        length = length / divLen;
        byte[] bytes = new byte[length];
        for (int i = 0; i < length; i++) {
            int index = i * divLen;
            bytes[i] = (byte) (Short.parseShort(digits.substring(index, index + divLen), radix));
        }
        return bytes;
    }
 
    /**
     * 16진수 문자열을 바이트 배열로 변환한다. 
     * 문자열의 2자리가 하나의 byte로 바뀐다.
     * 
     * ByteUtils.hexStringToBytes(null) = null
     * ByteUtils.hexStringToBytes("0E1F4E") = [0x0e, 0xf4, 0x4e]
     * ByteUtils.hexStringToBytes("48414e") = [0x48, 0x41, 0x4e] 
     * 
     * @param digits 16진수 문자열
     * @return
     * @throws NumberFormatException
     * @see HexUtils.toBytes(String)
     */
    public static byte[] hexStringToBytes(String digits) throws IllegalArgumentException, NumberFormatException {
        if (digits == null) { return null; }
        int length = digits.length();
        if (length % 2 == 1) { throw new IllegalArgumentException("For input string: \"" + digits + "\""); }
        length = length / 2;
        byte[] bytes = new byte[length];
        for (int i = 0; i < length; i++) {
            int index = i * 2;
            bytes[i] = (byte) (Short.parseShort(digits.substring(index, index + 2), 16));
        }
        return bytes;
    }
 
    /**
     * unsigned byte(바이트)를 16진수 문자열로 바꾼다.
     * 
     * ByteUtils.toHexString((byte)1) = "01" 
     * ByteUtils.toHexString((byte)255) = "ff"
     * 
     * @param b unsigned byte
     * @return
     * @see HexUtils.toString(byte)
     */
    public static String toHexString(byte b) {
        StringBuffer result = new StringBuffer(3);
        result.append(Integer.toString((b & 0xF0>> 416));
        result.append(Integer.toString(b & 0x0F16));
        return result.toString();
    }
 
    /**
     * unsigned byte(바이트) 배열을 16진수 문자열로 바꾼다.
     * 
     * ByteUtils.toHexString(null) = null
     * ByteUtils.toHexString([(byte)1, (byte)255]) = "01ff" 
     * 
     * @param bytes unsigned byte's array
     * @return
     * @see HexUtils.toString(byte[])
     */
    public static String toHexString(byte[] bytes) {
        if (bytes == null) { return null; }
 
        StringBuffer result = new StringBuffer();
        for (byte b : bytes) {
            result.append(Integer.toString((b & 0xF0>> 416));
            result.append(Integer.toString(b & 0x0F16));
        }
        return result.toString();
    }
 
    /**
     * 두 배열의 값이 동일한지 비교한다.
     * 
     * ArrayUtils.equals(null, null) = true
     * ArrayUtils.equals(["one", "two"], ["one", "two"]) = true 
     * ArrayUtils.equals(["one", "two"], ["three", "four"]) = false
     * 
     * @param array1
     * @param array2
     * @return 동일하면 true, 아니면 false
     */
    public static boolean equals(byte[] array1, byte[] array2) {
        if (array1 == array2) { return true; }
 
        if (array1 == null || array2 == null) { return false; }
 
        if (array1.length != array2.length) { return false; }
 
        for (int i = 0; i < array1.length; i++) {
            if (array1[i] != array2[i]) { return false; }
        }
 
        return true;
    }
}
cs


반응형

'IT > 언어' 카테고리의 다른 글

[LIB] ESAPI 로 XSS 방어  (0) 2014.05.30
시큐어 코딩 가이드  (0) 2014.05.29
RSA 암호화  (0) 2014.05.29
Servlet Encoding Filter  (0) 2014.05.21
정규 표현식 예제  (0) 2014.05.21
반응형
ByteUtil.java

해당 소스에 사용된 ByteUtil 클래스

TestRsa.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
import java.security.InvalidKeyException;
import java.security.Key;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
 
public class TestRsa {
    public static void main(String[] args) 
           throws NoSuchAlgorithmException, NoSuchPaddingException, InvalidKeyException, IllegalBlockSizeException, BadPaddingException {
        SecureRandom random = new SecureRandom();
        KeyPairGenerator generator = KeyPairGenerator.getInstance("RSA");
        generator.initialize(2048, random);
 
        KeyPair pair = generator.generateKeyPair();
        Key publicKey = pair.getPublic();
        System.out.println("publicKey = " + publicKey);
 
        Key privateKey = pair.getPrivate();
        System.out.println("privateKey = " + privateKey);
 
        Cipher cipher = Cipher.getInstance("RSA");
        cipher.init(Cipher.ENCRYPT_MODE, publicKey, random);
        
        String text = "RSA 암호화!!";
        System.out.println("원본 : " + text);
 
        // String -> byte 변환
        byte[] t0 = text.getBytes();
        System.out.println("원본 바이트 : " + ByteUtil.toHexString(t0));
        
 
        // 인코딩
        byte[] b0 = cipher.doFinal(t0);
        System.out.println("인코딩 : " + ByteUtil.toHexString(b0));
        
        // 디코딩
        cipher.init(Cipher.DECRYPT_MODE, privateKey);
        byte[] b1 = cipher.doFinal(b0);
        
        System.out.println("디코딩 : " + ByteUtil.toHexString(b1));
        System.out.println("디코딩된 원본:" + new String(b1));
    }
}
cs

########### Console 결과 ###########

1
2
3
4
5
6
7
8
9
publicKey = Sun RSA public key, 2048 bits
  modulus: 24375096591711126055210512185359957069059389332115666685656256009167572767173223522908531449043521360276825613201726594898353846423279278285747007266846094212573914607322409575412719234320181695009686453504284619499201124842375042929556510354483722116550582489225345515352818937465595047638810682064411880791025358297049816845633188104939146545275383717858564379062518328967892129218263037788613461088589973921632894302911326334363077605546489131720190553333874412384419644166222126318457219924457347665925613430947371080765753200018907246728766599325596504477911485731278280070273136297987513034643007577899945186837
  public exponent: 65537
privateKey = sun.security.rsa.RSAPrivateCrtKeyImpl@ffc92d04
원본 : RSA 암호화!!
원본 바이트 : 52534120ec9594ed98b8ed99942121
인코딩 : 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
디코딩 : 52534120ec9594ed98b8ed99942121
디코딩된 원본:RSA 암호화!!
cs


반응형

'IT > 언어' 카테고리의 다른 글

시큐어 코딩 가이드  (0) 2014.05.29
ByteUtil.java  (0) 2014.05.29
Servlet Encoding Filter  (0) 2014.05.21
정규 표현식 예제  (0) 2014.05.21
Servlet 에러 페이지 처리  (0) 2014.05.21
반응형

EncodingFilter.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
public class CommonEncodingFilter implements Filter {
    private String encoding = null;
    protected FilterConfig filterConfig = null;
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
        this.encoding = filterConfig.getInitParameter("encoding");
    }
 
   public void destroy() {
        this.encoding = null;
        this.filterConfig = null;
   }
 
   public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 
   throws IOException, ServletException {
        if (request.getCharacterEncoding() == null) {
            if (encoding != null) {
                request.setCharacterEncoding(encoding);
            }
        }
        chain.doFilter(request, response);
   }
 
    public FilterConfig getFilterConfig() {
        return filterConfig;
    }
 
    public void setFilterConfig(FilterConfig cfg) {
        filterConfig = cfg;
    }
}
cs

web.xml

1
2
3
4
5
6
7
8
9
10
11
12
13
<filter>
    <filter-name>Encoding Filter</filter-name>
    <filter-class>com.exam.common.CommonEncodingFilter</filter-class>
    <init-param>
        <param-name>encoding</param-name>
        <param-value>UTF-8</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>Encoding Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
 
cs


반응형

'IT > 언어' 카테고리의 다른 글

ByteUtil.java  (0) 2014.05.29
RSA 암호화  (0) 2014.05.29
정규 표현식 예제  (0) 2014.05.21
Servlet 에러 페이지 처리  (0) 2014.05.21
Jquery validation  (0) 2014.05.21
반응형

정규 표현식

1
2
3
4
5
6
Pattern pattern = Pattern.compile("^[가-힣a-zA-Z]+$");
Matcher matcher = pattern.matcher(name);
if(!matcher.matches()){
    errMsg = "이름은 한글이나 영어만 가능합니다.";
    return false;
}
cs


반응형

'IT > 언어' 카테고리의 다른 글

RSA 암호화  (0) 2014.05.29
Servlet Encoding Filter  (0) 2014.05.21
Servlet 에러 페이지 처리  (0) 2014.05.21
Jquery validation  (0) 2014.05.21
tomcat7 SSL 설정  (0) 2014.05.19
반응형

400, 401, 404 ... 에러페이지 매핑


location 부분은 경로에 맞게 jsp 파일 생성해서 입력

web,xml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<error-page>
    <error-code>401</error-code>
    <location>/error/error.jsp</location>
</error-page>
<error-page>
    <error-code>403</error-code>
    <location>/error/error.jsp</location>
</error-page>
<error-page>
    <error-code>404</error-code>
    <location>/error/404error.jsp</location>
</error-page>
<error-page>
    <exception-type>java.lang.NullPointerException</exception-type>
    <location>/error/error.jsp</location>
</error-page>
<error-page>
    <exception-type>java.lang.Throwable</exception-type>
    <location>/error/error.jsp</location>
</error-page>
<error-page>
    <exception-type>java.lang.Exception</exception-type>
    <location>/error/error.jsp</location>
</error-page>
cs

error,jsp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<%
    out.print("status_code : ");
    out.print(request.getAttribute("javax.servlet.error.status_code"));
    out.print("<br />");
    out.print("<br />");
    out.print("exception_type : ");
    out.print(request.getAttribute("javax.servlet.error.exception_type"));
    out.print("<br />");
    out.print("<br />");
    out.print("message : ");
    out.print(request.getAttribute("javax.servlet.error.message"));
    out.print("<br />");
    out.print("<br />");
    out.print("exception : ");
    out.print(request.getAttribute("javax.servlet.error.exception"));
    out.print("<br />");
    out.print("<br />");
    out.print("request_uri : ");
    out.print(request.getAttribute("javax.servlet.error.request_uri"));
%>
cs


반응형

'IT > 언어' 카테고리의 다른 글

Servlet Encoding Filter  (0) 2014.05.21
정규 표현식 예제  (0) 2014.05.21
Jquery validation  (0) 2014.05.21
tomcat7 SSL 설정  (0) 2014.05.19
[LIB] STRUT2  (0) 2014.05.19
반응형

참조 : http://love2u.be/40

JqueryValidation.zip

+ jquery-1.4.2.min.js

+ jquery.validate.js

+ validation.js (예제)

Validation EX

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
$(document).ready(function() {
    $("#joinForm").validate({
        rules: {
            name:{required: true, minlength: 2, maxlength: 4, kor_eng: true},
            age :{required: true, minlength: 1, maxlength: 2, number: true},
            job :{required: true, minlength: 3, maxlength: 20},
            address :{required: true, minlength: 3, maxlength: 20},                    
        },
        messages: {
            name: {required: "이름을 입력하세요",minlength: jQuery.format("{0}자리 이상"),maxlength: jQuery.format("{0}자리 이하"), kor_eng: "한글과 영문만 가능"},
            age : {required: "나이를 입력하세요",minlength: jQuery.format("{0}자리 이상"),maxlength: jQuery.format("{0}자리 이하"), number: "숫자만 가능"},
            job : {required: "직업을 입력하세요",minlength: jQuery.format("{0}자리 이상"),maxlength: jQuery.format("{0}자리 이하")},
            address: {required: "주소를 입력하세요",minlength: jQuery.format("{0}자리 이상"),maxlength: jQuery.format("{0}자리 이하")},
        },
        success: function(label) {
            label.html(" ").addClass("checked");
        }
    });
});
cs


반응형

'IT > 언어' 카테고리의 다른 글

정규 표현식 예제  (0) 2014.05.21
Servlet 에러 페이지 처리  (0) 2014.05.21
tomcat7 SSL 설정  (0) 2014.05.19
[LIB] STRUT2  (0) 2014.05.19
[LIB] JSON  (0) 2014.05.19
반응형
반응형

'IT > 언어' 카테고리의 다른 글

Servlet 에러 페이지 처리  (0) 2014.05.21
Jquery validation  (0) 2014.05.21
[LIB] STRUT2  (0) 2014.05.19
[LIB] JSON  (0) 2014.05.19
BSON encode/decode  (0) 2014.05.15
반응형

STRUTS2 사용시 필요한 최소 LIB


struts2.zip

+ commons-fileupload-1.3.1

+ commons-io-2.2

+ commons-lang-2.4

+ commons-lang3-3.1

+ commons-logging-1.1.3

+ commons-logging-api-1.1

+ commons-validator-1.3.1

+ freemarker-2.3.19

+ javassist-3.11.0.GA

+ ognl-3.0.6

+ struts2-core-2.3.16.3

+ struts-core-1.3.10

+ xwork-core-2.3.16.3

반응형

'IT > 언어' 카테고리의 다른 글

Jquery validation  (0) 2014.05.21
tomcat7 SSL 설정  (0) 2014.05.19
[LIB] JSON  (0) 2014.05.19
BSON encode/decode  (0) 2014.05.15
BSON 이해하기  (0) 2014.05.14

+ Recent posts