웹 사이트 취약점 점검을 할 때 테스트 해야 할 특수문자 목록이 있다.
[.], [%2E], [+], [%2B], [%2A], [\], [%5C], [?], [%3F], [%20], []
다음과 같은 특수문자가 삽임된 URL 을 테스트하여 웹 서버의 반응을 확인 한 후, 정상적인 400, 404, 500 에러가 아닌 특수 한 반응(예, 소스코드 출력 또는 디렉토리 목록 출력) 이 발생하는 경우, 벤더사의 보안 권고문 등을 확인하여 조치를 취해야 한다.
테스트 할 패턴은 다음과 같이 두 가지로 테스트 한다. (예, %20을 테스트 할 경우)
- http://www.sample.com/test/%2E
- http://www.sample.com/test.jsp%2E
# 출처
- http://wikisecurity.net/guide:jsp_%EA%B0%9C%EB%B0%9C_%EB%B3%B4%EC%95%88_%EA%B0%80%EC%9D%B4%EB%93%9C