Dev. Chun: 11월 2015

2015년 11월 30일 월요일

입력데이터 검증 및 표현 - 자원 삽입

1) 자원 삽입

외부 입력값을 검증하지 않고 시스템 자원(resource)에 대한 식별자로 사용하는 경우, 공격자는 입력값 조작을 통해 시스템이 보호되는 자원에 임의로 접근하거나 수정할 수 있고, 잘못된 입력값으로 인해 시스템 자원 사이에 충돌이 발생할 수 있다.

n 안전한 코딩 기법

① 외부의 입력을 자원(파일) 식별자로 사용하는 경우, 적절한 검증을 거치도록 하거나 사전에 정의된 적합한 리스트에서 선택되도록 작성한다.

② 경로순회(Directory Travelsal)를 수행할 수 있는 문자를 제거한다. (../, ;, \, /)

1. // 경로순회를 수행할 수 있는 문자 제거

2. private String makeSecurePath(String path) {

3. path = path.replaceAll("../", "");

4. path = path.replaceAll(";", "");

6. return path;

7. }

1. // 화이트 리스트를 통한 시스템 자원의 보호

2. public final String[] availableIP = {

3. "127.0.0.1",

4. "192.168.0.1",

5. "192.168.0.2",

6. "192.168.0.3"

7. };

8. private void createClientSocket(String ip){

9. Socket socket;

10. int port=7777;

11. boolean isValid = false;

12.

13. try{

14. for(int i=0; i<availableIP .length; i++) {

15. if(availableIP [i].equals(ip)) {

16. isValid = true;

17. break;

18. }

19. }

20. if(isValid) socket = new Socket(ip, port);

21. else socket = new Socket(availableIP[0], port);

22. } catch (IOException e) {

23. System.out.println("소켓 생성에 실패하였습니다.");

24. }

25. }

public void fileUpload(HttpServletRequest request,
String ADDFILE_ROOT_PATH, int ADDFILE_MAXSIZE) throws Exception {
if (!new File(ADDFILE_ROOT_PATH).exists())
new File(ADDFILE_ROOT_PATH).mkdir();
// [commons-fileupload-1-2.jar] DiskFileItemFactory, ServletFileUpload, FileItem
DiskFileItemFactory factory = new DiskFileItemFactory();
factory.setSizeThreshold(ADDFILE_MAXSIZE);
factory.setRepository(new File(ADDFILE_ROOT_PATH));
ServletFileUpload upload = new ServletFileUpload(factory);
upload.setSizeMax(ADDFILE_MAXSIZE);
String fullDir = "";
String dir = "";
try {
List items = upload.parseRequest(request);
Iterator iter = items.iterator();
for (int i = 0; i < items.size(); i++) {
FileItem item = (FileItem) items.get(i);
if (item.isFormField()) {
if (item.getFieldName().equals("UPLOAD_DIR"))
dir = item.getString();
}
}
if (dir.equals("")) {
fullDir = ADDFILE_ROOT_PATH + "/temp";
} else {
fullDir = ADDFILE_ROOT_PATH + "/" + dir;
}
if (!new File(fullDir).exists())
new File(fullDir).mkdir();
int tmpCnt = 0;
while (iter.hasNext()) {
FileItem item = (FileItem) iter.next();
if (!item.isFormField()) {
if (item.getName().length() != 0) {
String fieldName = item.getFieldName();
String itemName = item.getName();
itemName = itemName.substring(itemName.lastIndexOf("/") + 1);
// check available file extension
String orgFileName = itemName;
String sysFileName = "______"; // generate random name for save
File sysFile = new File(fullDir + "/" + sysFileName);
item.write(sysFile);
}
}
tmpCnt++;
}
} catch (IOException ex) {
throw ex;
} catch (Exception ex) {
throw ex;
}
}

입력데이터 검증 및 표현 - SQL 삽입 (SQL Injection)

1. 입력데이터 검증 및 표현

프로그램 입력 값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정, 일관되지 않은 언어셋 사용 등으로 인해 발생하는 보안약점으로 SQL 삽입, 크로스사이트 스크립트(XSS) 등의 공격을 유발할 수 있다.

1) SQL 삽입(SQL Injection)

데이터베이스(DB)와 연동된 웹 어플리케이션에서 입력된 데이터에 대한 유효성 검증을 하지 않을 경우, 공격자가 입력 폼 및 URL 입력란에 SQL 문을 삽입하여 DB로부터 정보를 열람하거나 조작할 수 있는 보안약점을 말한다.

n 안전한 코딩 기법

① PreparedStatement 클래스와 하위 메소드 excuteQuery(), execute(), excuteUpdate()를 사용한다.

② PreparedStatement 클래스를 사용할 수 없는 환경이라면, 입력 값을 필터링 처리한 후 사용한다.

③ Mybatis Data Map 파일의 인자를 받는 질의 명령어 정의시에 문자열 삽입 인자($..$)를 사용하지 않고, 질의 구조에 영향을 주지 않는 #<인자이름># 형태의 질의문을 사용한다. 부득이하게 삽입인자($..$)를 사용할 경우에는 입력 값을 필터링 처리하여 사용한다.

import java.io.IOException;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import javax.servlet.ServletConfig;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class SQLInjectionSample extends HttpServlet {
private static final long serialVersionUID = 1L;
private Connection conn;
private final static int MAX_USER_ID_LENGTH = 14;
private final static int MAX_PASSWORD_LENGTH = 16;
private final static String UNSECURED_CHAR_REGULAR_EXPRESSION = "[^\\p{Alnum}]|select|delete|update|insert|create|alter|drop";
private static Pattern unsecuredCharPattern = Pattern.compile(UNSECURED_CHAR_REGULAR_EXPRESSION, Pattern.CASE_INSENSITIVE);
public void init(ServletConfig config) throws ServletException {
unsecuredCharPattern = Pattern.compile(UNSECURED_CHAR_REGULAR_EXPRESSION, Pattern.CASE_INSENSITIVE);
}
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
Statement stmt = null;
ResultSet rs = null;
String action = request.getParameter("action");
if(action == null || "".equals(action)) { action = "default"; }
if(action.equals("login")) {
try {
conn = DriverManager.getConnection("url", "user", "password");
stmt = conn.createStatement();
String userId = request.getParameter("user_id");
String password = request.getParameter("password");
if(userId == null || "".equals(userId) || password == null || "".equals(password)) {
throw new Exception("check login info");
} else {
}
userId = makeSecureString(userId, MAX_USER_ID_LENGTH);
password = makeSecureString(password, MAX_PASSWORD_LENGTH);
String query = "SELECT * FROM MEMBERS WHERE userid=" + userId + " AND password=" + password;
rs = stmt.executeQuery(query);
} catch (SQLException e) {
System.out.println(e.getMessage());
e.printStackTrace();
} catch (Exception e) {
System.out.println(e.getMessage());
} finally {
try {
if(rs != null) { rs.close(); }
if(stmt != null) { stmt.close(); }
if(conn != null) { conn.close(); }
} catch (SQLException e) {
System.out.println(e.getMessage());
}
}
}
}
private String makeSecureString(final String str, int maxLength) {
String secureStr = str.substring(0, maxLength);
Matcher matcher = unsecuredCharPattern.matcher(secureStr);
return matcher.replaceAll("");
}
}