전자정부프레임워크 공통컴포넌트 관련 질문드립니다.
- 작성자 :
- 박*진
- 작성일 :
- 2021-01-21 16:10:42
- 조회수 :
- 3,391
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
운영중인 홈페이지가 전자정부프레임워크 공통 컴포넌트(공통컴포넌트 3.8.0 all-in-one)를 대부분 포함한채로 구축되어있습니다.
소스코드취약점 점검툴로 점검을 해보니 [부적절한 예외 처리 (광범위한 예외객체 사용/선언)] 항목으로 많은 보안약점이 탐지되었습니다.
해당 소스들을 확인해보니
java/egovframework/com/sym/ccm/zip/service/impl/ZipManageDAO.java
java/egovframework/com/sym/ccm/zip/service/impl/WebLogDAO.java
java/egovframework/com/sym/ccm/zip/service/impl/UserStatsDAO.java
java/egovframework/com/cop/com/service/impl/EgovUserInfManagerDAO.java
등등 공통컴포넌트의 소스에서 특정 예외항목을 지정하지않고 throws Exception 처리한 라인들을 탐지하고있었습니다.
3.8.0 이상의 가장 최근 공통컴포넌트들에도 동일한 광범위한 예외객체선언이 되어있던데
이 항목들은 오탐/과탐으로 처리해도 무관한 보안약점인가요?
소스코드취약점 점검툴로 점검을 해보니 [부적절한 예외 처리 (광범위한 예외객체 사용/선언)] 항목으로 많은 보안약점이 탐지되었습니다.
해당 소스들을 확인해보니
java/egovframework/com/sym/ccm/zip/service/impl/ZipManageDAO.java
java/egovframework/com/sym/ccm/zip/service/impl/WebLogDAO.java
java/egovframework/com/sym/ccm/zip/service/impl/UserStatsDAO.java
java/egovframework/com/cop/com/service/impl/EgovUserInfManagerDAO.java
등등 공통컴포넌트의 소스에서 특정 예외항목을 지정하지않고 throws Exception 처리한 라인들을 탐지하고있었습니다.
3.8.0 이상의 가장 최근 공통컴포넌트들에도 동일한 광범위한 예외객체선언이 되어있던데
이 항목들은 오탐/과탐으로 처리해도 무관한 보안약점인가요?
A
안녕하세요.
표준프레임워크센터입니다.
웹 취약점의 경우 툴이나 정책에 따라 다르게 적용 될 수 있는 부분들입니다.
문의주신 부분에 대해 센터에서 오탐/과탐을 언급하기는 어려운 부분입니다.
모든 예외의 경우에 따라 처리하는것이 가장 이상적이겠으나, 사업에 따라 그 수준은 협의해 나가야 하는 부분인듯 합니다.
참고로 센터에서는 매년 KISA 검증을 받고 있으며, 검증 사항에 대해서 조치를 취하고 있음을 알려드립니다.
감사합니다.
표준프레임워크센터입니다.
웹 취약점의 경우 툴이나 정책에 따라 다르게 적용 될 수 있는 부분들입니다.
문의주신 부분에 대해 센터에서 오탐/과탐을 언급하기는 어려운 부분입니다.
모든 예외의 경우에 따라 처리하는것이 가장 이상적이겠으나, 사업에 따라 그 수준은 협의해 나가야 하는 부분인듯 합니다.
참고로 센터에서는 매년 KISA 검증을 받고 있으며, 검증 사항에 대해서 조치를 취하고 있음을 알려드립니다.
감사합니다.