sql injection 보안취약점 조치 관련문의
- 작성자 :
- 송*연
- 작성일 :
- 2023-03-16 19:03:29
- 조회수 :
- 84
- 구분 :
- 공통컴포넌트 / 3.8
- 진행상태 :
- 완료
Q
표준프레임워크 버전 : 3.8 / 3.1 (2대)를 사용 중에 있습니다. 이 버젼에서 아래 부분들에 취약점이 적용되어있는지 확인 부탁드립니다.
->부적절한 로그인 질의(query) 구현 취약점
->SQL Injection을 통한 DB 데이터 노출 취약점
->SQL 인젝션을 통한 파일생성 및 읽기취약점
->SQL 인젝션을 통한 시스템권한 획득 취약점
->HTTP 헤더정보를 이용한 검사 필터링 우회취약점
2022년도 공통컴포넌트 보안 패치 안내를 보면 sql injection관련된 부분은 없던데 sql injection적용여부 확인방법이 메뉴얼화되어 있는 것은 없는지 확인 부탁드립니다.
표준프레임워크 버전 : 3.8 / 3.1 (2대)를 사용 중에 있습니다. 이 버젼에서 아래 부분들에 취약점이 적용되어있는지 확인 부탁드립니다.
->부적절한 로그인 질의(query) 구현 취약점
->SQL Injection을 통한 DB 데이터 노출 취약점
->SQL 인젝션을 통한 파일생성 및 읽기취약점
->SQL 인젝션을 통한 시스템권한 획득 취약점
->HTTP 헤더정보를 이용한 검사 필터링 우회취약점
2022년도 공통컴포넌트 보안 패치 안내를 보면 sql injection관련된 부분은 없던데 sql injection적용여부 확인방법이 메뉴얼화되어 있는 것은 없는지 확인 부탁드립니다.
환경정보
-
- OS 정보 : suse 12
- 표준프레임워크 버전 : 3.8 / 3.1 (2대)
- JDK(JRE) 정보 : java_1.7
- WAS 정보 : WebSphere
- DB 정보 : IBM DB2
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크 센터 입니다.
Mybatis를 적용하여 사용하시는 경우
기본적으로 SQL 인젝션을 방어하게 됩니다.
다만,
쿼리 표현식중
인자 전달시에 #{...} 사용하여야 방어가 가능하며
${...}와 같이 $표현식을 사용하여 쿼리를 조합하는 경우
방어가 되지 않으므로 별도 추가적인 조치가 필요합니다.
그외에 커스텀한 쿼리문 구성 로직등이 존재한다면
별도 확인이 필요한 사항입니다.
Sql Injection에 관련된 내용은
행정안전부에서 제공하는 시큐어 코딩(보안 코딩) 가이드의 내용을 참고하실 수 있습니다.
해당 게시물의 첨부 파일에서 내용을 확인 가능합니다.
https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000015&nttId=88956
업무에 참고하시기 바랍니다.
감사합니다.
표준프레임워크 센터 입니다.
Mybatis를 적용하여 사용하시는 경우
기본적으로 SQL 인젝션을 방어하게 됩니다.
다만,
쿼리 표현식중
인자 전달시에 #{...} 사용하여야 방어가 가능하며
${...}와 같이 $표현식을 사용하여 쿼리를 조합하는 경우
방어가 되지 않으므로 별도 추가적인 조치가 필요합니다.
그외에 커스텀한 쿼리문 구성 로직등이 존재한다면
별도 확인이 필요한 사항입니다.
Sql Injection에 관련된 내용은
행정안전부에서 제공하는 시큐어 코딩(보안 코딩) 가이드의 내용을 참고하실 수 있습니다.
해당 게시물의 첨부 파일에서 내용을 확인 가능합니다.
https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000015&nttId=88956
업무에 참고하시기 바랍니다.
감사합니다.
