findsecuritybugs 적용 시 공통 컴포넌트 버그
- 작성자 :
- 변*영
- 작성일 :
- 2024-10-31 13:42:51
- 조회수 :
- 269
- 구분 :
- 공통컴포넌트 / 4.2
- 진행상태 :
- 완료
Q
안녕하세요.
공통컴포넌트 4.2를 받아서 개발하고 있습니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:dev4:findsecuritybugs
위의 내용을 참고하여 FindSecurityBugs를 세팅해 검사했더니
전자정부프레임워크에서 제공해주는 코드에서 오류가 나더라구요.
어떻게 해야하나요?
주로 파일을 생성하는 부분에서 오류가 생성됐습니다.
오류가 발생한 코드 : EgovFileTool.java 등
오류 정보 : PATH_TRAVERSAL_IN
공통컴포넌트 4.2를 받아서 개발하고 있습니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:dev4:findsecuritybugs
위의 내용을 참고하여 FindSecurityBugs를 세팅해 검사했더니
전자정부프레임워크에서 제공해주는 코드에서 오류가 나더라구요.
어떻게 해야하나요?
주로 파일을 생성하는 부분에서 오류가 생성됐습니다.
오류가 발생한 코드 : EgovFileTool.java 등
오류 정보 : PATH_TRAVERSAL_IN
환경정보
-
- OS 정보 : 윈도우
- 표준프레임워크 버전 : 전자정부프레임워크 4.1
- JDK(JRE) 정보 : 17
- WAS 정보 : tomcat 9
- DB 정보 : postgreSQL
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크 센터입니다.
Path Traversal이란 웹 루트 디렉토리 외부에 저장된 파일 및 디렉토리에 접근하는 기법으로
경로 탐색 취약점이라고도 하며
절대경로를 사용해 접근을 시도하는 것을 말합니다.
해당 코드는 디렉토리를 생성하는 기능을 가지고 있어
취약점은 제한적일 것으로 보이나
다음과 같이 보다 안전하게 보완 하실수 있습니다.
다음 설정파일에
/src/main/resources/egovframework/egovProps/globals.properties
다음과 같이 경로를 지정합니다.
Globals.fileStorePath = C:/egovframework/upload/
다음과 같이 Globals.fileStorePath 경로 하위부터 지정될수 있도록 제약을 가한다면
보다 안전한 코드가 될듯 합니다.
감사합니다.
표준프레임워크 센터입니다.
Path Traversal이란 웹 루트 디렉토리 외부에 저장된 파일 및 디렉토리에 접근하는 기법으로
경로 탐색 취약점이라고도 하며
절대경로를 사용해 접근을 시도하는 것을 말합니다.
해당 코드는 디렉토리를 생성하는 기능을 가지고 있어
취약점은 제한적일 것으로 보이나
다음과 같이 보다 안전하게 보완 하실수 있습니다.
다음 설정파일에
/src/main/resources/egovframework/egovProps/globals.properties
다음과 같이 경로를 지정합니다.
Globals.fileStorePath = C:/egovframework/upload/
다음과 같이 Globals.fileStorePath 경로 하위부터 지정될수 있도록 제약을 가한다면
보다 안전한 코드가 될듯 합니다.
| File file = new File(EgovProperties.getProperty("Globals.fileStorePath") + EgovWebUtil.filePathBlackList(dirPath)); |
감사합니다.
