소스코드 보안관련
- 작성자 :
- 윤*성
- 작성일 :
- 2015-03-05 09:25:32
- 조회수 :
- 743
- 구분 :
- 운영환경
- 진행상태 :
- 완료
Q
안행부에서 나왔던 보안가이드를 보면 에러처리를 할때
e.printStackTrace();
를 하지 말라는 이야기가 있는데
전자정부에서는 org.springframework.web.servlet.handler.SimpleMappingExceptionResolver를 사용해서
에러페이지를 별도로 만들어 처리하기 때문에
이경우 저 에러정보가 화면에 노출되는것 때문에 발생되는 보안위협과 상관없다고 생각되는데요.
e.printStackTrace();를 써도되는지 쓰지 말아야할지 문의드립니다.
e.printStackTrace();
를 하지 말라는 이야기가 있는데
전자정부에서는 org.springframework.web.servlet.handler.SimpleMappingExceptionResolver를 사용해서
에러페이지를 별도로 만들어 처리하기 때문에
이경우 저 에러정보가 화면에 노출되는것 때문에 발생되는 보안위협과 상관없다고 생각되는데요.
e.printStackTrace();를 써도되는지 쓰지 말아야할지 문의드립니다.
A
윤태성님 안녕하세요.
KISA등 외부전문기관에서 소스코드 점검을 받으시게 되면
로그파일을 통하여 힌트를 줄수 있기때문에
e.printStackTrace(); 를 사용하시는 경우 보안지적사항입니다.
try {
...
} catch (Exception e) {
//LOGGER.debug(e.printStackTrace());
//LOGGER.debug("연계파일시검증오류");
}
개발시 사용하였더라도
운영서버 반영시에는 위처럼 오류내역을
직접 기술하도록 하고 있습니다.
감사합니다.
KISA등 외부전문기관에서 소스코드 점검을 받으시게 되면
로그파일을 통하여 힌트를 줄수 있기때문에
e.printStackTrace(); 를 사용하시는 경우 보안지적사항입니다.
try {
...
} catch (Exception e) {
//LOGGER.debug(e.printStackTrace());
//LOGGER.debug("연계파일시검증오류");
}
개발시 사용하였더라도
운영서버 반영시에는 위처럼 오류내역을
직접 기술하도록 하고 있습니다.
감사합니다.