Sparrow 도입과 XSS최근에 “Sparrow SAST” 라고 하는 소스코드 보안 취약점 점검 솔루션을 도입하고 테스트 및 사용을 해보고 있습니다.이 솔루션으로 프로젝트를 전체적으로 검사를 해봤는데요. 가장 많이 발견되는 취약점이 XSS(크로스 사이트 스크립팅) 더라고요. 그리고 이 XSS 중에서도 가장 많이 검출되는 부분이 el태그 를 사용하는 부분이었습니다.${siteId} //이렇게 ${값} 형식으로 jsp 에서 사용하는 부분은 모두 취약하다고 검출됨왜 el태그 를 사용하는 부분이 취약점으로 검출되는지 알아보니까 이 태그를 이용해서 출력을 할 때 출력값 안에 스크립트가 있다면 해당 스크립트가 실행이 된다고 하네요.예를 들어 “회원가입 아이디 입력” 부분의 input type=“text” 에 값..
