시큐어 코딩 - 오류 메시지 정보노출
- 작성자 :
- 준*준
- 작성일 :
- 2023-01-30 16:33:47
- 조회수 :
- 761
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
안녕하세요.
소스코드 분석 결과, 오류 메시지 정보노출이 위반되었다고 합니다.
e.printStackTrace(); 와 e.getmessage(); 함수를 써서 그러는데 근데 이 함수들은 사용자에게는 보여주지 않고 내부에서 로그용으로만 사용하고 있습니다.
사용자에게 정보를 노출하지 않는 상황임에도 해당 함수 사용을 지양해야 하나요?
소스코드 분석 결과, 오류 메시지 정보노출이 위반되었다고 합니다.
e.printStackTrace(); 와 e.getmessage(); 함수를 써서 그러는데 근데 이 함수들은 사용자에게는 보여주지 않고 내부에서 로그용으로만 사용하고 있습니다.
사용자에게 정보를 노출하지 않는 상황임에도 해당 함수 사용을 지양해야 하나요?
A
안녕하세요.
표준프레임워크 센터입니다.
KISA등 외부전문기관에서 소스코드 점검을 받으시게 되면
로그파일을 통하여 힌트를 줄수 있기때문에
e.printStackTrace(); 를 사용하시는 경우 보안지적사항입니다.
try {
...
} catch (Exception e) {
//LOGGER.debug(e.printStackTrace());
//LOGGER.debug("연계파일시검증오류");
}
개발시 사용하였더라도
운영서버 반영시에는 위처럼 오류내역을
직접 기술하도록 하고 있습니다.
해당 이슈 및 추가 상세 시큐어 코딩 가이드는
한국 인터넷 진흥원에서 제공되고 있으므로 참고 바랍니다.
https://www.kisa.or.kr/2060204/form?postSeq=6&page=1#fnPostAttachDownload
감사합니다.
표준프레임워크 센터입니다.
KISA등 외부전문기관에서 소스코드 점검을 받으시게 되면
로그파일을 통하여 힌트를 줄수 있기때문에
e.printStackTrace(); 를 사용하시는 경우 보안지적사항입니다.
try {
...
} catch (Exception e) {
//LOGGER.debug(e.printStackTrace());
//LOGGER.debug("연계파일시검증오류");
}
개발시 사용하였더라도
운영서버 반영시에는 위처럼 오류내역을
직접 기술하도록 하고 있습니다.
해당 이슈 및 추가 상세 시큐어 코딩 가이드는
한국 인터넷 진흥원에서 제공되고 있으므로 참고 바랍니다.
https://www.kisa.or.kr/2060204/form?postSeq=6&page=1#fnPostAttachDownload
감사합니다.