validation 관련 보안취약점 문제
- 작성자 :
- 지*임
- 작성일 :
- 2024-05-29 14:42:38
- 조회수 :
- 486
- 구분 :
- 적용지원(기술지원)
- 진행상태 :
- 완료
Q
안녕하세요 문의드립니다.
유효성 검증을 위한 validator 사용 중
웹브라우저에서 'https://---.---.co.kr/validator.do' 해당 url를 입력했을 때
스크린샷1과 같이 xml 파일(파일명: validator-rules.xml)이 보여지는 문제로
보안 취약점에 해당되었습니다.
설정의 문제인지 아니면 추가 작업이 필요한건지 문의드립니다.
유효성 검증을 위한 validator 사용 중
웹브라우저에서 'https://---.---.co.kr/validator.do' 해당 url를 입력했을 때
스크린샷1과 같이 xml 파일(파일명: validator-rules.xml)이 보여지는 문제로
보안 취약점에 해당되었습니다.
설정의 문제인지 아니면 추가 작업이 필요한건지 문의드립니다.
환경정보
-
- OS 정보 : windows
- 표준프레임워크 버전 : 3.10
- JDK(JRE) 정보 : jdk1.8.0_202
- WAS 정보 : CentOS, Apache, Tomcat
- DB 정보 : Oracle
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
표준프레임워크 validation 서비스는
Spring Framework와 Jakarta Commons Validator를 사용하여
제공하고 있습니다.
client side에서는 Controller에서 validation을 수행합니다.
이를 위하여 /validator.do((validator.jsp)로 호출하도록
Controller에서 메소드를 추가하고 requestmapping을 합니다.
그래서 ~~~/validator.do를 브라우저에 호출하면
validator-rules.xml에서 정의한 자바스크립트 함수들이 다운로드 되거나 출력됩니다.
즉, /validator.do((validator.jsp)는 client-validation을 위해 validator-rules.xml에서 정의한 javascript 함수들을 로딩하는 역할을 합니다.
그러므로
~~~/validator.do를 다운로드나 출력이 안되게 설정을 바꾸게되면
웹브라우저에서 validation이 처리되지 않고
서버에서만 처리되니 참고하시길 바랍니다.
참고 위키가이드 : https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte:ptl:security:jakarta_commons_validator
감사합니다.
표준프레임워크센터입니다.
표준프레임워크 validation 서비스는
Spring Framework와 Jakarta Commons Validator를 사용하여
제공하고 있습니다.
client side에서는 Controller에서 validation을 수행합니다.
이를 위하여 /validator.do((validator.jsp)로 호출하도록
Controller에서 메소드를 추가하고 requestmapping을 합니다.
그래서 ~~~/validator.do를 브라우저에 호출하면
validator-rules.xml에서 정의한 자바스크립트 함수들이 다운로드 되거나 출력됩니다.
즉, /validator.do((validator.jsp)는 client-validation을 위해 validator-rules.xml에서 정의한 javascript 함수들을 로딩하는 역할을 합니다.
그러므로
~~~/validator.do를 다운로드나 출력이 안되게 설정을 바꾸게되면
웹브라우저에서 validation이 처리되지 않고
서버에서만 처리되니 참고하시길 바랍니다.
참고 위키가이드 : https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte:ptl:security:jakarta_commons_validator
감사합니다.
