웹취약점 해결을 위한 참조소스(spring security) 요청드립니다.
- 작성자 :
- 김*
- 작성일 :
- 2024-07-21 17:33:26
- 조회수 :
- 625
- 구분 :
- 적용지원(기술지원)
- 진행상태 :
- 완료
Q
안녕하세요. 현재 전자정부프레임워크 3.8.2를 maven 으로 프로젝트를 진행하고 있습니다.
최근에 ZAP 어플을 통한 웹취약점 점검을 수행했는데. 아래와 같은 위반사항이 나왔습니다.
- Middle Priority Alerts
Content Security Policy(CSP) Header Not Set
Missing Anti-clickjacking Header
- Low Priority Alerts
Cooking Without SameSite Attribute
X-Content-Type-Options Header Missing
spring security를 적용하면 위의 사항을 다 해결할 수 있는지요? 웹에서 찾아보니 권한과 인증에 대한 내용만 나와있습니다.
spring security를 이용하여 해결할 수 있는 참고 소스 요청드립니다. 그리고 웹 취약점 점검에 대한 수정 범위는 어디까지가 해당되는지도 궁금합니다.
Hight Priority Alerts 이 않나왔기 때문에 그 이하는 권고 사항인지도 궁금합니다.
취약점 결과를 파일로 첨부드립니다.
답변 부탁드립니다. 감사합니다.
최근에 ZAP 어플을 통한 웹취약점 점검을 수행했는데. 아래와 같은 위반사항이 나왔습니다.
- Middle Priority Alerts
Content Security Policy(CSP) Header Not Set
Missing Anti-clickjacking Header
- Low Priority Alerts
Cooking Without SameSite Attribute
X-Content-Type-Options Header Missing
spring security를 적용하면 위의 사항을 다 해결할 수 있는지요? 웹에서 찾아보니 권한과 인증에 대한 내용만 나와있습니다.
spring security를 이용하여 해결할 수 있는 참고 소스 요청드립니다. 그리고 웹 취약점 점검에 대한 수정 범위는 어디까지가 해당되는지도 궁금합니다.
Hight Priority Alerts 이 않나왔기 때문에 그 이하는 권고 사항인지도 궁금합니다.
취약점 결과를 파일로 첨부드립니다.
답변 부탁드립니다. 감사합니다.
환경정보
-
- OS 정보 : 윈도우
- 표준프레임워크 버전 : 3.8.2
- JDK(JRE) 정보 : 1.8
- WAS 정보 : Tomcat 8.5
- DB 정보 : Maria DB
- 기타 환경 정보 : Synology nas 에서 컨테이너를 이용
A
안녕하세요
표준프레임워크센터입니다.
1. spring security를 적용하면 위의 사항을 다 해결할 수 있는지?
spring security 사용 시 웹취약점을 보완할 수는 있으나
개발하고 계시는 프로젝트의 전체적인 구성을 알 수 없으므로
spring security 추가만으로 전체 해결이 되지 않을 수 있습니다.
spring security 설정에 대해서는
아래 URL의 Server Security 부분을 참고하시기 바랍니다
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security
2. spring security를 이용하여 해결할 수 있는 참고 소스
공통컴포넌트의 표준프레임워크의 시큐리티 간소화 서비스를 적용하고 있으며
매년 KISA, NSR등 보안전문기관의 보안점검을 받은 후 배포하고 있습니다.
하단 URL [포털 > 다운로드 > 공통컴포넌트] 에서 사용하고 계시는
프로젝트에 맞는 버전을 다운받으셔서 코드를 참고해보시기 바랍니다.
https://www.egovframe.go.kr/home/sub.do?menuNo=49
3. 웹 취약점 점검에 대한 수정 범위
웹취약점 점검에 대한 수정범위는 센터에서 지정해드리고 있지 않습니다.
웹취약점 점검 관련 전문 기관에 문의하시기 바랍니다.
감사합니다.
표준프레임워크센터입니다.
1. spring security를 적용하면 위의 사항을 다 해결할 수 있는지?
spring security 사용 시 웹취약점을 보완할 수는 있으나
개발하고 계시는 프로젝트의 전체적인 구성을 알 수 없으므로
spring security 추가만으로 전체 해결이 되지 않을 수 있습니다.
spring security 설정에 대해서는
아래 URL의 Server Security 부분을 참고하시기 바랍니다
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3:fdl:server_security
2. spring security를 이용하여 해결할 수 있는 참고 소스
공통컴포넌트의 표준프레임워크의 시큐리티 간소화 서비스를 적용하고 있으며
매년 KISA, NSR등 보안전문기관의 보안점검을 받은 후 배포하고 있습니다.
하단 URL [포털 > 다운로드 > 공통컴포넌트] 에서 사용하고 계시는
프로젝트에 맞는 버전을 다운받으셔서 코드를 참고해보시기 바랍니다.
https://www.egovframe.go.kr/home/sub.do?menuNo=49
3. 웹 취약점 점검에 대한 수정 범위
웹취약점 점검에 대한 수정범위는 센터에서 지정해드리고 있지 않습니다.
웹취약점 점검 관련 전문 기관에 문의하시기 바랍니다.
감사합니다.
