security-object-config
- 작성자 :
- 김*한
- 작성일 :
- 2024-08-27 09:01:57
- 조회수 :
- 158
- 구분 :
- 개발환경 / 4.1
- 진행상태 :
- 완료
Q
안녕하세요.
지금 취약점 관련해서 화면에서 콘트롤러로 ajax통신으로 보내는 데이터를 필터에서 가로채 value값에다가 문자열 필터링을 하려고 합니다.
근데 이상하게 스프링 시큐리티를 통과화면 web.xml에 선언한 필터(chain.dofilter로 필터 거치는 것 확인) 가 post방식의 key, value값들은 못가져오고 있습니다.
request.getMethod() 하면 post, get방식이 나오고 post는 key, value값이 안찍히고 get방식의 데이터들은 잘 출력됩니다.
로그인을 통과하고 못가져오는것이 context-security 때문이라는 생각이 들어 설정을 찾아보니 sqlRolesAndMethod가 있었습니다.
저희 환경에서는 method로 시큐리티 기능을 사용 안하고 있어 select가 안나오는 sql을 설정하고 있습니다.
security에서 sqlRolesAndMethod로 post, get방식을 통제할 수 있는지, 아니면 필터에서 post방식의 데이터를 못가져오게 하는 설정이 따로 존재하는지 궁금해 올립니다.
지금 취약점 관련해서 화면에서 콘트롤러로 ajax통신으로 보내는 데이터를 필터에서 가로채 value값에다가 문자열 필터링을 하려고 합니다.
근데 이상하게 스프링 시큐리티를 통과화면 web.xml에 선언한 필터(chain.dofilter로 필터 거치는 것 확인) 가 post방식의 key, value값들은 못가져오고 있습니다.
request.getMethod() 하면 post, get방식이 나오고 post는 key, value값이 안찍히고 get방식의 데이터들은 잘 출력됩니다.
로그인을 통과하고 못가져오는것이 context-security 때문이라는 생각이 들어 설정을 찾아보니 sqlRolesAndMethod가 있었습니다.
저희 환경에서는 method로 시큐리티 기능을 사용 안하고 있어 select가 안나오는 sql을 설정하고 있습니다.
security에서 sqlRolesAndMethod로 post, get방식을 통제할 수 있는지, 아니면 필터에서 post방식의 데이터를 못가져오게 하는 설정이 따로 존재하는지 궁금해 올립니다.
환경정보
-
- OS 정보 : window
- 표준프레임워크 버전 : 4.1
- JDK(JRE) 정보 : 1.8
- WAS 정보 : tomcat
- DB 정보 : pg
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
표준프레임워크 공통컴포넌트 All-in-one 템플릿 환경에서
스프링 시큐리티에서 커스텀 필터의 처리를 강제하는 기능은 없습니다.
질문하신 내용을 바탕으로
센터에서 커스텀 필터를 구성한 후 테스트한 결과도
POST, GET 방식 모두 데이터를 확인할 수 있었습니다.
필터 구성이나 설정 등을 한번 더 확인해보시기 바랍니다.
감사합니다.
표준프레임워크센터입니다.
표준프레임워크 공통컴포넌트 All-in-one 템플릿 환경에서
스프링 시큐리티에서 커스텀 필터의 처리를 강제하는 기능은 없습니다.
질문하신 내용을 바탕으로
센터에서 커스텀 필터를 구성한 후 테스트한 결과도
POST, GET 방식 모두 데이터를 확인할 수 있었습니다.
필터 구성이나 설정 등을 한번 더 확인해보시기 바랍니다.
감사합니다.
