egov 1.x버전 j_spring_security_check.action 관련
- 작성자 :
- 작*자
- 작성일 :
- 2018-07-19 16:09:02
- 조회수 :
- 1,632
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
안녕하세요.
현재 egov 1.x 버전을 사용하고 있고, 이클립스(통합) 2.7.1
소스는
egovframework/com/uat/uia/web/EgovLoginController.java
입니다. 이부분에서 보안관련문제가있는데,
if (resultVO != null && resultVO.getId() != null && !resultVO.getId().equals("") && loginPolicyYn) {
//2. spring security 연동
return "redirect:/j_spring_security_check.action?j_username=" + resultVO.getUserSe() + resultVO.getId() + "&j_password=" + resultVO.getUniqId();
} else {
model.addAttribute("message", egovMessageSource.getMessage("fail.common.login"));
return "cmm/uat/uia/EgovLoginUsr";
}
이렇게 spring security 연동이라 해서 redirect 로 j_spring_security_check.action 이 url로 로그인값을 요청해 로그인처리를 진행하고 있는데,
문제가 해당 get파라미터값을 알고 url에다 직접 입력할 시 로그인된 화면으로 바로 들어가져서 보안취약점문제가 잡히고 있습니다.
3.5버전은 스프링시큐어리티 로그인방식이 처리가 되어있는데 2.7버전대에 이런 로그인취약점부분을 처리할수있는 방법이 있는지 알고싶습니다.
현재 egov 1.x 버전을 사용하고 있고, 이클립스(통합) 2.7.1
소스는
egovframework/com/uat/uia/web/EgovLoginController.java
입니다. 이부분에서 보안관련문제가있는데,
if (resultVO != null && resultVO.getId() != null && !resultVO.getId().equals("") && loginPolicyYn) {
//2. spring security 연동
return "redirect:/j_spring_security_check.action?j_username=" + resultVO.getUserSe() + resultVO.getId() + "&j_password=" + resultVO.getUniqId();
} else {
model.addAttribute("message", egovMessageSource.getMessage("fail.common.login"));
return "cmm/uat/uia/EgovLoginUsr";
}
이렇게 spring security 연동이라 해서 redirect 로 j_spring_security_check.action 이 url로 로그인값을 요청해 로그인처리를 진행하고 있는데,
문제가 해당 get파라미터값을 알고 url에다 직접 입력할 시 로그인된 화면으로 바로 들어가져서 보안취약점문제가 잡히고 있습니다.
3.5버전은 스프링시큐어리티 로그인방식이 처리가 되어있는데 2.7버전대에 이런 로그인취약점부분을 처리할수있는 방법이 있는지 알고싶습니다.
A
안녕하세요.
전자정부 표준프레임워크센터입니다.
구현 단에서 토큰 값들을 사용하여 폼 데이터가 전송될 때, 해당 전송이 정상적인 전송인지 여부를 검사하거나 하는등의
CSRF 공격 차단을 위한 기능을 추가 하시면 될 것 같습니다.
감사합니다.
전자정부 표준프레임워크센터입니다.
구현 단에서 토큰 값들을 사용하여 폼 데이터가 전송될 때, 해당 전송이 정상적인 전송인지 여부를 검사하거나 하는등의
CSRF 공격 차단을 위한 기능을 추가 하시면 될 것 같습니다.
감사합니다.