Injection 관련 질의(경로조작, HTTP 응답 분할)
- 작성자 :
- 이*원
- 작성일 :
- 2024-10-16 13:48:38
- 조회수 :
- 76
- 구분 :
- 실행환경 / 3.9
- 진행상태 :
- 완료
Q
Injection 관련 취약점 중
질의 1. 경로 조작 취약점은 전자정부 프레임워크 내 Filter 처리 기능이 있는지요?
없다면 경로 조작 방지를 위한 별도의 Filter를 해야 겠군요?
질의 2. Http 응답 분할 취약점은 전자정부 프레임워크 내 Filter 처리 기능이 있는지요?
없다면 개행 문자 Replace를 해야 겠군요?
위 두가지 전자정부 프레임워크 내 있을듯한데....
바쁘시겠지만 조속히 답변 부탁드립니다.
감사합니다.
질의 1. 경로 조작 취약점은 전자정부 프레임워크 내 Filter 처리 기능이 있는지요?
없다면 경로 조작 방지를 위한 별도의 Filter를 해야 겠군요?
질의 2. Http 응답 분할 취약점은 전자정부 프레임워크 내 Filter 처리 기능이 있는지요?
없다면 개행 문자 Replace를 해야 겠군요?
위 두가지 전자정부 프레임워크 내 있을듯한데....
바쁘시겠지만 조속히 답변 부탁드립니다.
감사합니다.
환경정보
-
- OS 정보 : Red hat 계열
- 표준프레임워크 버전 : 3.9
- JDK(JRE) 정보 : 1.8
- WAS 정보 : Tomcat 9 이상
- DB 정보 : Oracle 12C
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크 센터입니다.
답변1)
공통 컴포넌트의 다음 클래스를 확인하여 보시면
경로조작 취약점 문제가 발생할 수 있는 문자에 대한 처리를 하고 있습니다.
/src/main/java/egovframework/com/cmm/EgovWebUtil.java
보안전문기관 KISA에서 제공하는 다음 URL
https://www.kisa.or.kr/2060204/form?postSeq=9&page=1#fnPostAttachDownload
보안약점 진단가이드 202페이지에 대응할 수 있는 예제코드가 제공됩니다.
답변2)
파라미터의 값을 HTTP응답헤더(예를 들어, Set-Cookie 등)에 포함시킬 경우
CR, LF와 같은 개행문자를 제거해야 합니다.
보안약점 진단가이드 285페이지에 대응할 수 있는 예제코드가 제공됩니다.
해당 사항을 참조하여 사업단의 필요에 맞게
취약한 URL 또는 파라미터에 대해 필터 구성이 가능하므로 참고 부탁 드립니다.
또한 다음 링크에서
표준 프레임워크 보안 개발 가이드에서도 참조 가능합니다.
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=76&bbsId=171&nttId=1813
감사합니다.
표준프레임워크 센터입니다.
답변1)
공통 컴포넌트의 다음 클래스를 확인하여 보시면
경로조작 취약점 문제가 발생할 수 있는 문자에 대한 처리를 하고 있습니다.
/src/main/java/egovframework/com/cmm/EgovWebUtil.java
보안전문기관 KISA에서 제공하는 다음 URL
https://www.kisa.or.kr/2060204/form?postSeq=9&page=1#fnPostAttachDownload
보안약점 진단가이드 202페이지에 대응할 수 있는 예제코드가 제공됩니다.
답변2)
파라미터의 값을 HTTP응답헤더(예를 들어, Set-Cookie 등)에 포함시킬 경우
CR, LF와 같은 개행문자를 제거해야 합니다.
보안약점 진단가이드 285페이지에 대응할 수 있는 예제코드가 제공됩니다.
해당 사항을 참조하여 사업단의 필요에 맞게
취약한 URL 또는 파라미터에 대해 필터 구성이 가능하므로 참고 부탁 드립니다.
또한 다음 링크에서
표준 프레임워크 보안 개발 가이드에서도 참조 가능합니다.
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=76&bbsId=171&nttId=1813
감사합니다.
