해당 사항 관련된 질문 드립니다.
- 작성자 :
- 한*희
- 작성일 :
- 2021-08-03 13:56:24
- 조회수 :
- 3,537
- 구분 :
- 개발환경 / 3.7
- 진행상태 :
- 완료
Q
1번 사항은 오류노출 관련되어 해당 관련된 사항에 대해 처리를 어떻게 하면 되는지 알고 싶습니다.
일단 제가 LOGGER.info -> error로 변경 처리를 하였는데 맞는 부분인지 알고 싶네요.
(그림 1-1 참조 부탁드립니다.)
2번 사항은 솔트 없이 일방향 해쉬 사용으로 인해 소스 확인해보니 해당 소스가 그림 2번 처럼 되어있던데 해당 부분 주석처리 하면 되는건지 알고 싶습니다.
3번은 부적절한 자원 해제 관련된 사항에 대해 처리를 어떻게 하면 되는지 알고 싶습니다.
그림 3-1 참조 부탁드립니다.
일단 제가 LOGGER.info -> error로 변경 처리를 하였는데 맞는 부분인지 알고 싶네요.
(그림 1-1 참조 부탁드립니다.)
2번 사항은 솔트 없이 일방향 해쉬 사용으로 인해 소스 확인해보니 해당 소스가 그림 2번 처럼 되어있던데 해당 부분 주석처리 하면 되는건지 알고 싶습니다.
3번은 부적절한 자원 해제 관련된 사항에 대해 처리를 어떻게 하면 되는지 알고 싶습니다.
그림 3-1 참조 부탁드립니다.
환경정보
-
- OS 정보 : windows10
- 표준프레임워크 버전 : 3.7
- JDK(JRE) 정보 : 1.8
- WAS 정보 : tomcat7
- DB 정보 : mysql
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터 입니다.
답변1)
로그에서 어떤 공격 힌트를 주지 말라는 것으로 이해되고
로그 메시지에 Controller명이나 메소드명이 존재해서 그런것 같습니다.
결과를 보낸 점검 기관이나 업체와 협의를 해보셔야 할듯 합니다.
답변2)
공통컴포넌트의 다음 클래스를 사용하시거나
커스텀 하신것으로 보입니다.
src/main/java/egovframework/com/utl/sim/service/EgovFileScrty.java
다음 메소드
public static boolean encryptFile(String source) 는
Deprecated상태에서 현재는 제거 되었습니다.
해당 메소드를 제거 하시고
만약 사용중이라면
다음 메소드를 사용하시면 되겠습니다.
public static boolean encryptFile(String source, String target)
답변3)
공통컴포넌트의 다음 클래스를
커스텀 하신것으로 보입니다.
src/main/java/egovframework/com/utl/sys/prm/service/ProcessMonChecker.java
다음 finally절에 추가하는게 더 안전한 것으로 보입니다.
finally {
input.close();
}
커스텀 코드는
전후 사정이 더 있을수 있으므로
점검기관 이나 점검업체에 확인을 받는게 좋을듯 합니다.
감사합니다.
표준프레임워크센터 입니다.
답변1)
로그에서 어떤 공격 힌트를 주지 말라는 것으로 이해되고
로그 메시지에 Controller명이나 메소드명이 존재해서 그런것 같습니다.
결과를 보낸 점검 기관이나 업체와 협의를 해보셔야 할듯 합니다.
답변2)
공통컴포넌트의 다음 클래스를 사용하시거나
커스텀 하신것으로 보입니다.
src/main/java/egovframework/com/utl/sim/service/EgovFileScrty.java
다음 메소드
public static boolean encryptFile(String source) 는
Deprecated상태에서 현재는 제거 되었습니다.
해당 메소드를 제거 하시고
만약 사용중이라면
다음 메소드를 사용하시면 되겠습니다.
public static boolean encryptFile(String source, String target)
답변3)
공통컴포넌트의 다음 클래스를
커스텀 하신것으로 보입니다.
src/main/java/egovframework/com/utl/sys/prm/service/ProcessMonChecker.java
다음 finally절에 추가하는게 더 안전한 것으로 보입니다.
finally {
input.close();
}
커스텀 코드는
전후 사정이 더 있을수 있으므로
점검기관 이나 점검업체에 확인을 받는게 좋을듯 합니다.
감사합니다.