공통컴포넌트에 포함된 웹에디터 사용시 보안취약점 관련 문의
- 작성자 :
- 남*웅
- 작성일 :
- 2019-10-18 09:37:08
- 조회수 :
- 5,723
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
전자정부프레임워크를 이용해 개발한 사이트에서 보안취약점으로 공통컴포넌트에 포함된 웹에디터(htmlarea 3.0)의 html파일들 위치공개 취약점이 나왔습니다.
해당 시스템은 예전버전(3.5.1) 기반으로 제작된거라 3.8버전에서 공통컴포넌트 웹에디터의 변경점이 있는지 확인해보려 3.8에서 신규 프로젝트 생성 후 공통컴포넌트의 웹에디터를 설치해보니 동일하게 htmlarea 3.0이 설치되는것을 확인하였고, web.xml이나 context-security 파일에서 관련 설정 변경은 없는 것으로 확인했습니다.
보안취약점 내역은 url 입력으로 풀 주소를 입력했을 때 (http://www.wwww.ww.ww/html/egovframework/com/cmm/utl/htmlarea3.0/popups/select_color.html) 페이지가 노출되는것이 확인되었고, 삭제 혹은 접근권한 설정을 하라고 나왔습니다.
기존에 context-security.xml에 <security:http pattern="/html/**" security="none"/> 이 있던것을 빼버려도 현재 페이지 접근은 동일하게 되고 있습니다.
본래 이미지파일, js, html파일등은 security를 안거치는 것이 기본 설정으로 알고 있는데
어떤 설정을 바꿔주어야 하는지 문의드립니다.
해당 시스템은 예전버전(3.5.1) 기반으로 제작된거라 3.8버전에서 공통컴포넌트 웹에디터의 변경점이 있는지 확인해보려 3.8에서 신규 프로젝트 생성 후 공통컴포넌트의 웹에디터를 설치해보니 동일하게 htmlarea 3.0이 설치되는것을 확인하였고, web.xml이나 context-security 파일에서 관련 설정 변경은 없는 것으로 확인했습니다.
보안취약점 내역은 url 입력으로 풀 주소를 입력했을 때 (http://www.wwww.ww.ww/html/egovframework/com/cmm/utl/htmlarea3.0/popups/select_color.html) 페이지가 노출되는것이 확인되었고, 삭제 혹은 접근권한 설정을 하라고 나왔습니다.
기존에 context-security.xml에 <security:http pattern="/html/**" security="none"/> 이 있던것을 빼버려도 현재 페이지 접근은 동일하게 되고 있습니다.
본래 이미지파일, js, html파일등은 security를 안거치는 것이 기본 설정으로 알고 있는데
어떤 설정을 바꿔주어야 하는지 문의드립니다.
A
안녕하세요.
표준프레임워크센터 입니다.
위치공개 취약점은 다음과 같은것으로 알고 있습니다.
개발 시 사용한 테스트 파일, 애플리케이션(아파치, IIS, 톰캣 등) 설치 시 기본적으로 설치되는 관리자 페이지, 샘플 페이지 및 매뉴얼 페이지 등을 삭제하지 않아 발생하는 취약점이다.
다음 파일은 HtmlArea가 배포되면서 포함된 파일이고
색상을 변경할때 띄우는 화면입니다.
select_color.html
특별히 이슈가 되는 화면이거나 기능도 포함하고 있지 않은 정적 파일입니다.
취약점이 분석도구에서 기계적으로 분석되어서 일수도 있으니
다시 확인을 하셔야 할듯 합니다.
저희도 KISA검증을 최근에도 받았으며
3개의 도구로 검사하고 있다고 하는데 해당 파일이 문제가 되지 않았습니다.
Security에서 제한을 건다고 해도
운영서버에서 HTML, JS CS 등의 정적 파일들은
WEB서버에서 올라가는경우가 많습니다.
이경우에는 제한이 걸리지 않습니다.
감사합니다.
표준프레임워크센터 입니다.
위치공개 취약점은 다음과 같은것으로 알고 있습니다.
개발 시 사용한 테스트 파일, 애플리케이션(아파치, IIS, 톰캣 등) 설치 시 기본적으로 설치되는 관리자 페이지, 샘플 페이지 및 매뉴얼 페이지 등을 삭제하지 않아 발생하는 취약점이다.
다음 파일은 HtmlArea가 배포되면서 포함된 파일이고
색상을 변경할때 띄우는 화면입니다.
select_color.html
특별히 이슈가 되는 화면이거나 기능도 포함하고 있지 않은 정적 파일입니다.
취약점이 분석도구에서 기계적으로 분석되어서 일수도 있으니
다시 확인을 하셔야 할듯 합니다.
저희도 KISA검증을 최근에도 받았으며
3개의 도구로 검사하고 있다고 하는데 해당 파일이 문제가 되지 않았습니다.
Security에서 제한을 건다고 해도
운영서버에서 HTML, JS CS 등의 정적 파일들은
WEB서버에서 올라가는경우가 많습니다.
이경우에는 제한이 걸리지 않습니다.
감사합니다.