웹취약성 관련 문의
- 작성자 :
- 김*규
- 작성일 :
- 2023-09-20 14:39:01
- 조회수 :
- 169
- 구분 :
- 호환성확인
- 진행상태 :
- 완료
Q
안녕하십니까?
전자정부프레임웍 3.9 버전으로 개발을 진행 중입니다.
어느정도 개발을 완료하고 고객사 요청으로 정적신뢰성 도구 Sparrow 를 이용해 점검을 진행하였는데요.
일부 java 소스에서 신뢰할 수 없는 클래스를 inport 하였다며 오류(취약점)이/가 발견되었습니다.
내용을 확인해본 결과 전자정부프레임웍에서 제공하는 jar 일부 클래스가 검출되었는데요.
해결방법은 있는지 문의드립니다.
답변 부탁 드리겠습니다.
감사합니다.
세부내용
CERT-JAVA
ENV01-J [ENV01-J. Place All Security-sensitive code in a single JAR and sign and seal it]
검출된 파일 및 클래스
egovframework.rte.fdl.cmmn-3.9.0.jar
- import egovframework.rte.fdl.cmmn.exception.EgovBizException;
- import egovframework.rte.fdl.cmmn.exception.FdlException;
egovframework.rte.psl.dataaccess-3.9.0.jar
- import egovframework.rte.psl.dataaccess.EgovAbstractMapper;
전자정부프레임웍 3.9 버전으로 개발을 진행 중입니다.
어느정도 개발을 완료하고 고객사 요청으로 정적신뢰성 도구 Sparrow 를 이용해 점검을 진행하였는데요.
일부 java 소스에서 신뢰할 수 없는 클래스를 inport 하였다며 오류(취약점)이/가 발견되었습니다.
내용을 확인해본 결과 전자정부프레임웍에서 제공하는 jar 일부 클래스가 검출되었는데요.
해결방법은 있는지 문의드립니다.
답변 부탁 드리겠습니다.
감사합니다.
세부내용
CERT-JAVA
ENV01-J [ENV01-J. Place All Security-sensitive code in a single JAR and sign and seal it]
검출된 파일 및 클래스
egovframework.rte.fdl.cmmn-3.9.0.jar
- import egovframework.rte.fdl.cmmn.exception.EgovBizException;
- import egovframework.rte.fdl.cmmn.exception.FdlException;
egovframework.rte.psl.dataaccess-3.9.0.jar
- import egovframework.rte.psl.dataaccess.EgovAbstractMapper;
환경정보
-
- OS 정보 : window10
- 표준프레임워크 버전 : 3.9
- JDK(JRE) 정보 : 1.8
- WAS 정보 : apache
- DB 정보 : oracle
- 기타 환경 정보 : UI - nexacro17
A
안녕하세요.
표준프레임워크센터입니다.
1. 표준프레임워크를 이용한 업무시스템 개발 시
서비스 레이어를 구성할 때 상속받아 사용하는
EgovAbstractServiceImpl 클래스를 이용하여
서비스 레이어에서 발생하는 Exception을 처리할 수 있으므로
EgovBizException, FdlException 클래스를
개별적으로 import하여 사용하는 것보다
EgovAbstractServiceImpl 클래스를 상속받고
processException() 메소드를 사용하여 처리하시기 바랍니다.
2. EgovAbstractMapper 클래스의 경우
개발한 업무시스템이 표준프레임워크를 사용했을 경우
적용점검 시 점검 대상이 되는 클래스로
Mybatis를 사용하는 업무시스템의 DAO 클래스에는 반드시 적용되어야 합니다.
하지만 매년 진행하고 있는 KISA 보안검증, 보안전문업체 검증, NSR 보안점검 등에서
질문하신 취약점이 검출된 경우가 없어서 명확한 답변을 드리기 어렵습니다.
따라서 추가적인 확인을 통해 이슈가 있을 경우 조치하도록 하겠습니다.
감사합니다.
표준프레임워크센터입니다.
1. 표준프레임워크를 이용한 업무시스템 개발 시
서비스 레이어를 구성할 때 상속받아 사용하는
EgovAbstractServiceImpl 클래스를 이용하여
서비스 레이어에서 발생하는 Exception을 처리할 수 있으므로
EgovBizException, FdlException 클래스를
개별적으로 import하여 사용하는 것보다
EgovAbstractServiceImpl 클래스를 상속받고
processException() 메소드를 사용하여 처리하시기 바랍니다.
2. EgovAbstractMapper 클래스의 경우
개발한 업무시스템이 표준프레임워크를 사용했을 경우
적용점검 시 점검 대상이 되는 클래스로
Mybatis를 사용하는 업무시스템의 DAO 클래스에는 반드시 적용되어야 합니다.
하지만 매년 진행하고 있는 KISA 보안검증, 보안전문업체 검증, NSR 보안점검 등에서
질문하신 취약점이 검출된 경우가 없어서 명확한 답변을 드리기 어렵습니다.
따라서 추가적인 확인을 통해 이슈가 있을 경우 조치하도록 하겠습니다.
감사합니다.
