차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
| 양쪽 이전 판이전 판 | 다음 판양쪽 다음 판 | ||
| guide:java_개발_보안_가이드 [2013/12/26 07:10] – 121.140.124.172 | guide:java_개발_보안_가이드 [2013/12/26 07:36] – 121.140.124.172 | ||
|---|---|---|---|
| 줄 3695: | 줄 3695: | ||
| === 라. 참고 문헌 === | === 라. 참고 문헌 === | ||
| [1] CWE-674 제대로 제어되지 않은 재귀 - http:// | [1] CWE-674 제대로 제어되지 않은 재귀 - http:// | ||
| + | |||
| + | ===== 5절. 에러 처리 ===== | ||
| + | 정상적인 에러는 사전에 정의된 예외사항이 특정 조건에서 발생하는 에러이며, | ||
| + | ==== 1. 취약한 패스워드 요구조건(Weak Password Requirements) ==== | ||
| + | |||
| + | === 가. 정의 === | ||
| + | 사용자에게 강한 패스워드를 요구하지 않으면 사용자 계정을 보호하기 힘들다. | ||
| + | === 나. 안전한 코딩기법 === | ||
| + | 패스워드 관련해서 강한 조건이 필요하다. | ||
| + | === 다. 예제 === | ||
| + | <code | 안전하지 않는 코드 예제> | ||
| + | 1: …… | ||
| + | 2: public void doPost(HttpServletRequest request, HttpServletResponse response) | ||
| + | 3: throws IOException, | ||
| + | 4: try { | ||
| + | 5: String id = request.getParameter(" | ||
| + | 6: String passwd = request.getParameter(" | ||
| + | 7: // 패스워드 복잡도 검증 없이 가입 승인 처리 | ||
| + | 8: .... | ||
| + | 9: } catch (SQLException e) { …… } | ||
| + | 10: } | ||
| + | </ | ||
| + | 위 예제와 같이 가입자가 입력한 패스워드에 대한 복잡도 검증 없이 가입 승인 처리를 수행하게 되면 사용자 계정을 보호하기 힘들게 된다. | ||
| + | <code | 안전한 코드 예제> | ||
| + | 1: …… | ||
| + | 2: private static final String CONNECT_STRING = " | ||
| + | 3: | ||
| + | 4: public void doPost(HttpServletRequest request, HttpServletResponse response) | ||
| + | 5: throws IOException, | ||
| + | 6: try { | ||
| + | 7: String id = request.getParameter(" | ||
| + | 8: String passwd = request.getParameter(" | ||
| + | 9: | ||
| + | 10: // passwd에 대한 복잡도 검증 | ||
| + | 11: if (passwd == null || " " .equals(passwd)) return; | ||
| + | 12: if (!passwd.matches(" | ||
| + | 13: // passwd 복잡도 검증 후, 가입 승인 처리 | ||
| + | 14: } | ||
| + | 15: } catch (SQLException e) { …… } | ||
| + | 16: catch (NamingException e) { …… } | ||
| + | 17: } | ||
| + | </ | ||
| + | 사용자 계정을 보호하기 위해 가입 시 패스워드 복잡도 검증 후 가입 승인처리를 수행한다. | ||
| + | === 라. 참고 문헌 === | ||
| + | [1] CWE-521 취약한 패스워드 요구조건 - http:// | ||
| + | \\ | ||
| + | [2] OWASP Top Ten 2004 Category A3 - Broken Authentication and Session Management | ||
| + | ==== 2. 오류 메시지 통한 정보 노출(Information exposure through an error message) ==== | ||
| + | |||
| + | === 가. 정의 === | ||
| + | SW는 오류 메시지를 통해 환경, 사용자, 관련 데이터 등의 프로그램 내부 정보를 유출될수 있다. 예를 들어 예외 발생 시 예외 이름이나 스택 트레이스를 출력하면 프로그램 내부 구조를 쉽게 파악할 수 있다. | ||
| + | === 나. 안전한 코딩기법 === | ||
| + | 최종 사용자에게 배포되는 SW에서는 내부 구조나 공격자에 활용될 수 있는 민감한 정보를 오류 메시지로 출력하지 말아야 한다. | ||
| + | === 다. 예제 === | ||
| + | <code | 안전하지 않는 코드 예제> | ||
| + | 1: …… | ||
| + | 2: public static void main(String[] args) { | ||
| + | 3: String urlString = args[0]; | ||
| + | 4: try{ | ||
| + | 5: URL url = new URL(urlString); | ||
| + | 6: URLConnection cmx = url.openConnection(); | ||
| + | 7: cmx.connect(); | ||
| + | 8: } | ||
| + | 9: catch (Exception e) { e.printStackTrace(); | ||
| + | 10: } | ||
| + | </ | ||
| + | 예외 이름이나 스택 트레이스를 출력하면 프로그램 내부 정보가 유출된다. | ||
| + | <code | 안전한 코드 예제> | ||
| + | 1: …… | ||
| + | 2: public static void main(String[] args) { | ||
| + | 3: String urlString = args[0]; | ||
| + | 4: try{ | ||
| + | 5: URL url = new URL(urlString); | ||
| + | 6: URLConnection cmx = url.openConnection(); | ||
| + | 7: cmx.connect(); | ||
| + | 8: } | ||
| + | 9: catch (Exception e) { System.out.println(" | ||
| + | 10: | ||
| + | </ | ||
| + | 예외 이름이나 스택 트레이스를 출력하지 않는다. | ||
| + | === 라. 참고 문헌 === | ||
| + | [1] CWE-209 오류 메시지 통한 정보 노출 - http:// | ||
| + | ==== 3. 오류 상황에 대한 처리 부재(Detection of Error Condition Without Action) ==== | ||
| + | |||
| + | === 가. 정의 === | ||
| + | 오류는 포착했으나 그 오류에 대해서 아무 조치도 하지 않으면, 그 상태에서 계속 프로그램이 실행되므로 개발자가 의도하지 않은 결과를 초래한다. | ||
| + | === 나. 안전한 코딩기법 === | ||
| + | 예외 또는 오류를 포착(catch)한 경우 그것에 대한 적절한 처리를 해야 한다. | ||
| + | === 다. 예제 === | ||
| + | <code | 안전하지 않는 코드 예제> | ||
| + | 1: …… | ||
| + | 2: private Connection conn; | ||
| + | 3: | ||
| + | 4: public Connection DBConnect(String url, String id, String password) { | ||
| + | 5: try { | ||
| + | 6: String CONNECT_STRING = url + ":" | ||
| + | 7: InitialContext ctx = new InitialContext(); | ||
| + | 8: DataSource datasource = (DataSource) ctx.lookup(CONNECT_STRING); | ||
| + | 9: conn = datasource.getConnection(); | ||
| + | 10: } catch (SQLException e) { | ||
| + | 11: //catch 블록이 비어있음 | ||
| + | 12: } catch (NamingException e) { | ||
| + | 13: //catch 블록이 비어있음 | ||
| + | 14: } | ||
| + | 15: return conn; | ||
| + | 16: } | ||
| + | </ | ||
| + | 위 예제는 try 블록에서 발생하는 오류를 포착(catch)하고 있지만 그 오류에 대해서 아무조치를 하고 있지 않다. 따라서 프로그램이 계속 실행되기 때문에 프로그램에서 어떤 일이 일어났는지 전혀 알 수 없게 된다. | ||
| + | <code | 안전한 코드 예제> | ||
| + | 1: …… | ||
| + | 2: private Connection conn; | ||
| + | 3: | ||
| + | 4: public Connection DBConnect(String url, String id, String password) { | ||
| + | 5: try { | ||
| + | 6: String CONNECT_STRING = url + ":" | ||
| + | 7: InitialContext ctx = new InitialContext(); | ||
| + | 8: DataSource datasource = (DataSource) ctx.lookup(CONNECT_STRING); | ||
| + | 9: conn = datasource.getConnection(); | ||
| + | 10: } catch (SQLException e) { | ||
| + | 11: //Exception catch이후 Exception에 대한 적절한 처리를 해야 한다. | ||
| + | 12: if ( conn != null ) { | ||
| + | 13: try { | ||
| + | 14: conn.close(); | ||
| + | 15: } catch (SQLException e1) { | ||
| + | 16: conn = null; | ||
| + | 17: } | ||
| + | 18: } | ||
| + | 19: } catch (NamingException e) { | ||
| + | 20: //Exception catch이후 Exception에 대한 적절한 처리를 해야 한다. | ||
| + | 21: if ( conn != null ) { | ||
| + | 22: try { | ||
| + | 23: conn.close(); | ||
| + | 24: } catch (SQLException e1) { | ||
| + | 25: conn = null; | ||
| + | 26: } | ||
| + | 27: } | ||
| + | 28: } | ||
| + | 29: return conn; | ||
| + | 30: } | ||
| + | </ | ||
| + | 예외를 포착(catch)한 후, 각각의 예외 사항(Exception)에 대하여 적절하게 처리해야 한다. | ||
| + | === 라. 참고 문헌 === | ||
| + | [1] CWE-390 오류 상황에 대한 처리 부재 - http:// | ||
| + | \\ | ||
| + | [2] OWASP Top Ten 2004 Category A7 - Improper Error Handling | ||
| + | ==== 4. 비정상적 혹은 예외적 조건의 부적절한 검사(Improper Check for Unusual or Exceptional Conditions) ==== | ||
| + | |||
| + | === 가. 정의 === | ||
| + | 프로그램 수행 중에 함수의 결과 값에 대한 적절한 처리 또는 예외상황에 대한 조건을 적절하게 검사하지 않을 경우, 예기치 않은 문제를 야기할 수 있다. | ||
| + | === 나. 안전한 코딩기법 === | ||
| + | 값을 반환하는 모든 함수의 결과 값을 검사하여, | ||
| + | === 다. 예제 === | ||
| + | <code | 안전하지 않는 코드 예제> | ||
| + | 1: public void readFromFile(String fileName) { | ||
| + | 2: try { | ||
| + | 3: ... | ||
| + | 4: File myFile = new File(fileName); | ||
| + | 5: FileReader fr = new FileReader(myFile); | ||
| + | 6: ... | ||
| + | 7: } catch (Exception ex) {...} | ||
| + | 8: } | ||
| + | </ | ||
| + | 함수의 인자로 fileName에 대한 Null 체크없이 File 객체를 생성하였으며, | ||
| + | <code | 안전한 코드 예제> | ||
| + | 1: public void readFromFile(String fileName) throws FileNotFoundException, | ||
| + | 2: IOException, | ||
| + | 3: try { | ||
| + | 4: ... | ||
| + | 5: // filename에 대한 널을 조사 | ||
| + | 6: if ( fileName == NULL ) throw new MyException(" | ||
| + | 7: File myFile = new File(fileName); | ||
| + | 8: FileReader fr = new FileReader(myFile); | ||
| + | 9: ... | ||
| + | 10: // 함수 루틴에서 모든 가능한 예외에 대해서 처리한다. | ||
| + | 11: } catch (FileNotFoundException fe) {...} | ||
| + | 12: } catch (IOException ie) {...} | ||
| + | 13: } | ||
| + | </ | ||
| + | fileName이 Null 값인지 검사하고 Null이면 에러 메시지를 출력과 예외를 발생시킨다. | ||
| + | \\ | ||
| + | 또한 발생 가능한 모든 예외에 대한 구체적인 예외처리를 한다. | ||
| + | === 라. 참고 문헌 === | ||
| + | [1] CWE-754 부적절한 혹은 예외적 조건의 부적절한 검사 - http:// | ||
| + | \\ | ||
| + | CWE-252 미점검 리턴 값 - http:// | ||
| + | \\ | ||
| + | CWE-253 부정확한 함수 리턴 값 점검 - http:// | ||
| + | \\ | ||
| + | CWE-273 부적절한 하락된 특권점검 - http:// | ||
| + | \\ | ||
| + | CWE-296 부적절한 증명서 검증 신뢰체인 후속 - http:// | ||
| + | \\ | ||
| + | CWE-297 부적절한 호스트-특정 증명서 데이터검증 - http:// | ||
| + | \\ | ||
| + | CWE-298 부적절한 증명서 만료검증 - http:// | ||
| + | \\ | ||
| + | CWE-299 부적절한 증명서 파기점검 - http:// | ||
| + | \\ | ||
| + | [2] SANS Top 25 Most Dangerous Software Errors, http:// | ||
| + | \\ | ||
| + | [3] M. Howard, D. LeBlanc, Writing Secure Code, Second Edition, Microsoft Press | ||
| + | ===== 6절. 코드 품질 ===== | ||
| + | 작성 완료된 프로그램은 기능성, 신뢰성, 사용성, 유지보수성, | ||
| + | ==== 1. 코드 정확성: notify() 호출(Code Correctness: | ||
| + | |||
| + | === 가. 정의 === | ||
| + | 스레드의 notify()를 직접 호출하면 살아 있는 스레드 중에서 어떤 스레드를 깨울지 불명확하다. 따라서 직접 호출하지 않는 것이 좋다. | ||
| + | === 나. 안전한 코딩기법 === | ||
| + | notify()를 직접 호출하면 어떤 스레드를 깨울지 불명확하므로 사용하지 않는 것이 좋다. | ||
| + | === 다. 예제 === | ||
| + | <code | 안전하지 않는 코드 예제> | ||
| + | 1: …… | ||
| + | 2: public synchronized void notifyJob() { | ||
| + | 3: boolean flag = true; | ||
| + | 4: notify(); | ||
| + | 5: } | ||
| + | </ | ||
| + | notify()를 직접 호출하면 어떤 스레드를 깨울지 불명확하다. | ||
| + | <code | 안전한 코드 예제> | ||
| + | 1: …… | ||
| + | 2: public synchronized void notifyJob() { | ||
| + | 3: boolean flag = true; | ||
| + | 4: //notify() 메소드를 사용하지 않는다. | ||
| + | 5: } | ||
| + | </ | ||
| + | notify() 메소드를 사용하지 않는다. | ||
| + | === 라. 참고 문헌 === | ||
| + | [1] CWE-362 경쟁 상태 - http:// | ||
| + | \\ | ||
| + | CWE-662 부적절한 동기화 - http:// | ||
| + | \\ | ||
| + | [2] Sun Microsystems, | ||
| + | ==== 2. 자원의 부적절한 반환(Improper Resource Shutdown or Release) ==== | ||
| + | |||
| + | === 가. 정의 === | ||
| + | 프로그램의 자원, 예를 들면 열린 파일 기술자(open file descriptor), | ||
| + | === 나. 안전한 코딩기법 === | ||
| + | 자원을 획득하여 사용한 다음에는 finally 블록에서 반드시 자원을 해제하여야 한다. | ||
| + | === 다. 예제 === | ||
| + | <code | 안전하지 않는 코드 예제> | ||
| + | 1: …… | ||
| + | 2: public void processFile() throws SQLException { | ||
| + | 3: Connection conn = null; | ||
| + | 4: final String url = " | ||
| + | 5: try { | ||
| + | 6: Class.forName(" | ||
| + | 7: conn = DriverManager.getConnection(url); | ||
| + | 8: …… | ||
| + | 9: // 예외발생시 할당 받은 자원이 반환되지 않는다. | ||
| + | 10: conn.close(); | ||
| + | 11: } catch (ClassNotFoundException e) { | ||
| + | 12: System.err.println(" | ||
| + | 13: } catch (SQLException e) { | ||
| + | 14: System.err.println(" | ||
| + | 15: } finally { | ||
| + | 16: | ||
| + | 17: …… | ||
| + | </ | ||
| + | 위의 예제는 데이터베이스에 연결된 후에 사용 중 예외가 발생하면 할당된 데이터베이스 컨넥션 및 JDBC 자원이 반환되지 않는다. 이와 같은 상황이 반복될 경우 시스템에서 사용 가능한 자원이 소진될 수 있다. | ||
| + | <code | 안전한 코드 예제> | ||
| + | 1: …… | ||
| + | 2: public void processFile() throws SQLException { | ||
| + | 3: Connection conn = null; | ||
| + | 4: String url = " | ||
| + | 5: try { | ||
| + | 6: Class.forName(" | ||
| + | 7: conn = DriverManager.getConnection(url); | ||
| + | 8: …… | ||
| + | 9: } catch (ClassNotFoundException e) { | ||
| + | 10: System.err.print(" | ||
| + | 11: } catch (SQLException e) { | ||
| + | 12: System.err.print(" | ||
| + | 13: } finally { | ||
| + | 14: …… | ||
| + | 15: // 더 이상 사용하지 않으면 즉시 close()를 해줘야 한다. | ||
| + | 16: conn.close(); | ||
| + | 17: …… | ||
| + | </ | ||
| + | 예외상황이 발생하여 함수가 종료될 때 예외의 발생 여부와 상관없이 finally 블록에서 할당받은 자원을 반환한다. | ||
| + | === 라. 참고 문헌 === | ||
| + | [1] CWE-404 자원의 부적절한 반환 - http:// | ||
| + | \\ | ||
| + | [2] SANS Top 25 2009 - (SANS 2009) Risky Resource Management - CWE ID 404 Improper Resource Shutdown or Release | ||
| + | ==== 3. 널포인터 역참조(NULL Pointer Dereference) ==== | ||
| + | |||
| + | === 가. 정의 === | ||
| + | 널 포인터 역참조는 ' | ||
| + | === 나. 안전한 코딩기법 === | ||
| + | 널이 될 수 있는 레퍼런스(reference)는 참조하기 전에 널 값인지를 검사하여 안전한 경우에만 사용해야 한다. | ||
| + | === 다. 예제 === | ||
| + | <code | 안전하지 않는 코드 예제> | ||
| + | 1: …… | ||
| + | 2: public void f() { | ||
| + | 3: String cmd = System.getProperty(" | ||
| + | 4: // cmd가 null인지 체크하지 않았다. | ||
| + | 5: cmd = cmd.trim(); | ||
| + | 6: System.out.println(cmd); | ||
| + | 7: …… | ||
| + | </ | ||
| + | 위 예제는 " | ||
| + | <code | 안전한 코드 예제> | ||
| + | 1: …… | ||
| + | 2: public void f() { | ||
| + | 3: String cmd = System.getProperty(" | ||
| + | 4: // cmd가 null인지 체크하여야 한다. | ||
| + | 5: if (cmd != null) { | ||
| + | 6: cmd = cmd.trim(); | ||
| + | 7: System.out.println(cmd); | ||
| + | 8: } else System.out.println(" | ||
| + | 9: …… | ||
| + | </ | ||
| + | 먼저 cmd가 널인지 검사한 후에 사용한다. | ||
| + | === 라. 참고 문헌 === | ||
| + | [1] CWE-476 널포인터 역참조 - http:// | ||
| + | ==== 4. 코드 정확성: 부정확한 serialPersistentFields 조정자(Code Correctness: | ||
| + | |||
| + | === 가. 정의 === | ||
| + | serialPersistentFields를 정확하게 사용하기 위해서는 ‘private static final’로 선언해야 한다. public으로 선언하여 공유하면 정확성을 해칠 수 있다. | ||
| + | === 나. 안전한 코딩기법 === | ||
| + | serialPersistentFields를 정확하게 사용하려면 private, static, final로 선언해야 한다. | ||
| + | === 다. 예제 === | ||
| + | <code | 안전하지 않는 코드 예제> | ||
| + | 1: class List implements Serializable { | ||
| + | 2: public ObjectStreamField[] serialPersistentFields = | ||
| + | { new ObjectStreamField(" | ||
| + | 3: …… | ||
| + | 4: } | ||
| + | </ | ||
| + | serialPersistentFields를 정확하게 사용하기 위해서는 private, static, final로 선언해야 한다. | ||
| + | <code | 안전한 코드 예제> | ||
| + | 1: class List implements Serializable { | ||
| + | 2: private static final ObjectStreamField[] serialPersistentFields = | ||
| + | { new ObjectStreamField(" | ||
| + | 3: …… | ||
| + | 4: } | ||
| + | </ | ||
| + | serialPersistentFields를 정확하게 사용하기 위해서는 private, static, final로 선언해야 한다. | ||
| + | === 라. 참고 문헌 === | ||
| + | [1] CWE-485 불충분한 캡슐화 - http:// | ||
| + | \\ | ||
| + | [2] Sun Microsystems, | ||
| + | ==== 5. 코드 정확성: Thread.run() 호출(Code Correctness: | ||
| + | |||
| + | === 가. 정의 === | ||
| + | 프로그램에서 스레드의 start() 대신에 run()을 호출하면 스레드가 생성되지 않고, 해당 un() 함수를 직접 호출하여 해당 run() 함수의 종료를 대기하게 된다. 즉, 프로그래머는 새로운 스레드를 시작시키려고 했지만, start() 대신에 run()을 호출함으로써 호출자의 스레드에서 run() 메소드를 실행하게 된다. | ||
| + | === 나. 안전한 코딩기법 === | ||
| + | 스레드의 run() 대신에 start()를 수행하도록 한다. | ||
| + | === 다. 예제 === | ||
| + | <code | 안전하지 않는 코드 예제> | ||
| + | 1: …… | ||
| + | 2: protected void cwe_572() { | ||
| + | 3: Thread thr = new PrintThread(); | ||
| + | 4: // 스레드 객체의 run() 메소드를 직접 호출하는 것은 대부분 버그이다. | ||
| + | 5: thr.run(); | ||
| + | 6: } …… | ||
| + | 7: } | ||
| + | 8: class PrintThread extends Thread { | ||
| + | 9: public void run() { System.out.println(" | ||
| + | 10: } | ||
| + | </ | ||
| + | start() 대신에 run() 메소드를 사용하고 있다. | ||
| + | <code | 안전한 코드 예제> | ||
| + | 1: …… | ||
| + | 2: protected void cwe_572() { | ||
| + | 3: Thread thr = new PrintThread(); | ||
| + | 4: // 새로운 스레드를 시작시킨다. | ||
| + | 5: thr.start(); | ||
| + | 6: } …… | ||
| + | 7: } | ||
| + | 8: class PrintThread extends Thread { | ||
| + | 9: public void run() { System.out.println(" | ||
| + | 10: } | ||
| + | </ | ||
| + | 스레드의 start() 메소드를 사용한다. | ||
| + | === 라. 참고 문헌 === | ||
| + | [1] CWE-572 코드 정확성: Thread.run() 호출 - http:// | ||
