웹 취약점 관련 문의
- 작성자 :
- 이*흥
- 작성일 :
- 2013-12-15 21:50:19
- 조회수 :
- 1,141
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
안녕하십니까 ?
한국지방세연구원 시스템 구축 중인 넬슨씨엔씨 이강흥 입니다.
먼저, LASPE+ 웹 취약점 진단 툴을 사용하여 구축 중인 지방세법규해석종합DB(www.olta.re.kr)을 점검한 결과를 첨부 드립니다,
참고로 표준프레임워크 V2.6을 적용하여 구축 중에 있습니다.
표준프레임워크에서 제공하는 JAVA 클래스 화일에서 첨부 화일과 같이 취약점이 발견되었습니다.
최종 감리를 담당하시는 감리원님께
저희가 개발하는 소스가 아니라 각각 기능별로 참조하는 클래스 화일이라
이 부분은 저희가 수정 할 수 없는 부분이라 설명을 드렸지만,
최종적으로 다시 확인하고 조치 결과를 제출하라는 답변을 들었습니다.
상세한 내용은 첨부화일을 참조하시기 바랍니다. (위약점 별로 3~4건의 사례로만 압축하였습니다)
1. LASPE+ 툴을 이용하였으며, 오픈 소스이기에 점검에 적절한 툴인지 알고 싶습니다. (오탐 또는 정탐 여부)
2. 리스트의 JAVA 클래스를 저희가 수정 할 수 있는지요 ?
3. 지난 번 문의 시에 표준프레임워크는 취약점에 대한 점검을 이미 마쳤고, 취약점 부분에 대한 문제는 없는 것으로
답변을 들었읍니다.
저희와 같은 경우는 어떻게 조치를 해야 하는지 문의를 드리고자 합니다.
번거로우시더라도 답변을 부탁 드립니다.
아울러 감리 조치 결과서를 제출해야 하는 관계로 조금 시급하게 처리를 부탁 드립니다,
(주)넬슨씨엔씨 이강흥 드림
한국지방세연구원 시스템 구축 중인 넬슨씨엔씨 이강흥 입니다.
먼저, LASPE+ 웹 취약점 진단 툴을 사용하여 구축 중인 지방세법규해석종합DB(www.olta.re.kr)을 점검한 결과를 첨부 드립니다,
참고로 표준프레임워크 V2.6을 적용하여 구축 중에 있습니다.
표준프레임워크에서 제공하는 JAVA 클래스 화일에서 첨부 화일과 같이 취약점이 발견되었습니다.
최종 감리를 담당하시는 감리원님께
저희가 개발하는 소스가 아니라 각각 기능별로 참조하는 클래스 화일이라
이 부분은 저희가 수정 할 수 없는 부분이라 설명을 드렸지만,
최종적으로 다시 확인하고 조치 결과를 제출하라는 답변을 들었습니다.
상세한 내용은 첨부화일을 참조하시기 바랍니다. (위약점 별로 3~4건의 사례로만 압축하였습니다)
1. LASPE+ 툴을 이용하였으며, 오픈 소스이기에 점검에 적절한 툴인지 알고 싶습니다. (오탐 또는 정탐 여부)
2. 리스트의 JAVA 클래스를 저희가 수정 할 수 있는지요 ?
3. 지난 번 문의 시에 표준프레임워크는 취약점에 대한 점검을 이미 마쳤고, 취약점 부분에 대한 문제는 없는 것으로
답변을 들었읍니다.
저희와 같은 경우는 어떻게 조치를 해야 하는지 문의를 드리고자 합니다.
번거로우시더라도 답변을 부탁 드립니다.
아울러 감리 조치 결과서를 제출해야 하는 관계로 조금 시급하게 처리를 부탁 드립니다,
(주)넬슨씨엔씨 이강흥 드림
A
안녕하세요. 이강흥님.
우선, 전자정부 표준프레임워크 공통컴포넌트는 KISA의 보안 점검에 따라 수정/조치되었습니다. (공통컴포넌트 2.0.2 버전 이후로 개발환경 2.5.0 이후 버전에 반영되어 있음)
다만, 보안 점검 규칙은 적용 점검 툴 및 점검자 판단에 따라 다르기 때문에, 다른 점검 툴을 사용하는 경우 점검 결과과 다를 수 있습니다.
일부는 직접 조치가 방식이 아닌 간접적인 조치(파라미터 사전 필터링 등)에 의해 판단되기도 합니다.
보다 자세한 내용은 저희 포털의 오른쪽 배너 "관련 참고 문서"의 "공통컴포넌트 2.0.1 KISA 보안취약점 조치가이드" 문서를 참조하시면 되실 것 같으며, 다음과 같이 답변 드리겠습니다.
1. 해당 툴에 대한 적절성은 저희가 판단할 수 있는 부분은 아닌 것 같습니다.
2. 공통컴포넌트는 소스 레벨로 제공이되면, 적용시 커스터마이징 하셔서 적용하시는 부분이라 필요한 경우 직접 조치하셔야 합니다.
3. 개별 항목에 대하여 구체적으로 확인을 해 보시고, 필요한 경우 가이드에 의해 조치하시면 되실 것 같습니다.
참고로 일부 항목들은 사전에 점검 규칙에 의해 파라미터, 파일 경로, OS 명령어 등에 대하여 필터링 방식을 사용(EgovWebUtil 참조)하였으며, 일부 항목은 해당 데이터를 검증용으로만 활용된 부분이 있습니다.
또는 해당 부분(클래스 또는 메소드)이 실제 사용되는 부분인지 확인하셔서 삭제하셔도 무방합니다.
그럼, 즐거운 하루되십시오.
감사합니다.
우선, 전자정부 표준프레임워크 공통컴포넌트는 KISA의 보안 점검에 따라 수정/조치되었습니다. (공통컴포넌트 2.0.2 버전 이후로 개발환경 2.5.0 이후 버전에 반영되어 있음)
다만, 보안 점검 규칙은 적용 점검 툴 및 점검자 판단에 따라 다르기 때문에, 다른 점검 툴을 사용하는 경우 점검 결과과 다를 수 있습니다.
일부는 직접 조치가 방식이 아닌 간접적인 조치(파라미터 사전 필터링 등)에 의해 판단되기도 합니다.
보다 자세한 내용은 저희 포털의 오른쪽 배너 "관련 참고 문서"의 "공통컴포넌트 2.0.1 KISA 보안취약점 조치가이드" 문서를 참조하시면 되실 것 같으며, 다음과 같이 답변 드리겠습니다.
1. 해당 툴에 대한 적절성은 저희가 판단할 수 있는 부분은 아닌 것 같습니다.
2. 공통컴포넌트는 소스 레벨로 제공이되면, 적용시 커스터마이징 하셔서 적용하시는 부분이라 필요한 경우 직접 조치하셔야 합니다.
3. 개별 항목에 대하여 구체적으로 확인을 해 보시고, 필요한 경우 가이드에 의해 조치하시면 되실 것 같습니다.
참고로 일부 항목들은 사전에 점검 규칙에 의해 파라미터, 파일 경로, OS 명령어 등에 대하여 필터링 방식을 사용(EgovWebUtil 참조)하였으며, 일부 항목은 해당 데이터를 검증용으로만 활용된 부분이 있습니다.
또는 해당 부분(클래스 또는 메소드)이 실제 사용되는 부분인지 확인하셔서 삭제하셔도 무방합니다.
그럼, 즐거운 하루되십시오.
감사합니다.
