프로그래머는 AccessibleObject API를 사용하여 Java 액세스 지정자가 제공하는 access control 검사를 회피할 수 있습니다. 특히 프로그래머는 reflected 개체가 Java 액세스 제어를 무시하도록 허용하고 개인 필드의 값을 변경하거나 private 메서드를 호출할 수 있지만, 이러한 동작은 일반적으로 허용되지 않습니다.

많은 응용 프로그램은 쿠키를 사용하여 사용자 세션 ID를 통신합니다. HTTPS를 통해 응용 프로그램에 액세스하면 쿠키가 보호됩니다(공격자가 쿠키를 스니핑할 수 없음). 그러나 개발자가 응용 프로그램의 민감하지 않은 부분에 대한 HTTP 접근을 허용할 경우, 세션 ID를 도난당할 수 있습니다. 사용자가 사이트의 보호되지 않은 부분을 탐색하면 세션 ID가 포함된 쿠키가 자유롭게 전송됩니다. 공격자가 트래픽을 스니핑하면 세션 ID를 보고 이를 사용하여 사용자 세션을 제어할 수 있습니다.


다음 예제는 비보안 채널과 보안 채널을 혼합한 구성을 보여줍니다.

  <property name="filterInvocationDefinitionSource">
    <value>
      CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
      \A/secure/.*\Z=REQUIRES_SECURE_CHANNEL
      \A/acegilogin.jsp.*\Z=REQUIRES_SECURE_CHANNEL
      \A/j_acegi_security_check.*\Z=REQUIRES_SECURE_CHANNEL
      \A.*\Z=REQUIRES_INSECURE_CHANNEL
    </value>
  </property>

Acegi Security는 보안 개체 콜백 단계 중에 SecurityContext의 Authentication 개체를 일시적으로 교체하는 것을 허용합니다. 이는 원래 Authentication 개체가 AuthenticationManager 및 AccessDecisionManager에 의해 성공적으로 처리된 경우에만 발생합니다. RunAsManager는 이 인증 개체를 만듭니다.
일반적으로 개발자는 RunAsManager를 사용하여 메서드 호출 기간 동안 인증된 사용자에 대해 하나 이상의 추가 역할을 구성합니다. 이는 원격 응용 프로그램에 액세스해야 하는 보안 빈에 유용합니다. 원격 응용 프로그램에서 다른 자격 증명을 요구할 수 있으므로 이렇게 하면 호출 역할과 원격 응용 프로그램에 필요한 역할 사이를 변환하여 원격 액세스에 성공할 수 있습니다. 새 Authentication 개체(RunAsUserToken)는 추가 인증 또는 권한 부여 확인 없이 간단히 유효한 Authentication 인증 개체로 수락됩니다.
새 Authentication 개체에 새 역할 또는 권한을 추가하면 사용자의 권한이 일시적으로 상승하여 사용자가 권한이 부여되지 않은 작업을 수행하게 될 수 있습니다.
다음은 RunAsManager를 사용하여 "UBER_BOSS" 역할을 "ROLE_PEON" 역할이 있는 사용자에게 추가하고 일시적으로 이 사용자를 관리자 권한으로 상승시킴으로써 모든 사용자가 PrivateCatalog에서 데이터를 가져올 수 있도록 하는 구성을 보여줍니다.

<bean id="bankManagerSecurity" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
...
 <property name="objectDefinitionSource">
   <value>
     com.example.service.PrivateCatalog.getData=ROLE_PEON,RUN_AS_UBER_BOSS
...
   </value>
 </property>
</bean>

기본적으로 Fusion 응용 프로그램의 작업 흐름은 GET 요청에서 직접 액세스할 수 없습니다. URL이 작업 흐름을 호출하려고 할 때마다 HTTP 403 상태 코드가 수신됩니다. 그러나 암시적 설정을 사용하면 항상 명확성이 떨어지고 기본 설정이 물밑에서 변경될 경우 원치 않는 동작으로 이어질 수 있습니다.

예제 1: 작업 흐름 정의 파일의 다음 조각은 암시적 기본 url-invoke-disallowed 설정으로 구성된 작업 흐름의 예를 보여줍니다.

...
    <task-flow-definition id="password">
        <default-activity>PasswordPrompt</default-activity>
        <view id="PasswordPrompt">
            <page>/PasswordPrompt.jsff</page>
        </view>
        <use-page-fragments/>
    </task-flow-definition>
...

정규 JSF 응용 프로그램에서는 지정한 변환기 및 유효성 검사기를 사용하여 UI 구성 요소가 값을 변환하고 확인합니다. 변환 및 검증은 페이지가 제출될 때 발생합니다. Fusion 응용 프로그램에서 책갈피 지정 가능한 보기는 페이지 제출로 연결되지 않으므로 기본적으로 유사한 변환 또는 검증이 수행되지 않습니다.

예제 1: 다음 구성 파일 조각은 paramName URL 매개 변수의 변환 또는 검증을 수행하지 않도록 구성된 책갈피 지정 가능한 보기의 샘플을 보여줍니다.

...
    <bookmark>
        <method>#{paramHandler.handleParams}</method>
        <url-parameter>
            <name>paramName</name>
            <value>#{requestScope.paramName}</value>
        </url-parameter>
    </bookmark>
...

Oracle ADF Faces 구성 요소의 속성 값은 대개 서버에서만 설정될 수 있습니다. 그러나 구성 요소가 많으면 개발자가 클라이언트에서 설정될 수 있는 속성의 목록을 정의할 수 있습니다. 이러한 구성 요소의 unsecure 속성은 그러한 목록을 지정할 수 있습니다.

현재 unsecure 속성 내에 나타날 수 있는 유일한 속성은 disabled이며, 이는 활성화되는 구성 요소와 그렇지 않은 구성 요소를 클라이언트가 정의하도록 허용합니다. 서버에서만 설정할 수 있는 속성의 값을 클라이언트가 제어하도록 하는 것은 좋은 방법이 아닙니다.

예제: 다음 코드는 사용자에게서 암호 정보를 수집하고 unsecure 속성을 사용하는 inputText 구성 요소를 보여줍니다.

...
    <af:inputText id="pwdBox"
                  label="#{resources.PWD}"
                  value=""#{userBean.password}
                  unsecure="disabled"
                  secret="true"
                  required="true"/>
...

암호화 키를 정적 클래스 필드에 저장하면 프로세스 메모리(예: 루팅된 장치) 또는 프로세스 메모리 덤프(예: 크래시 덤프)에 액세스할 수 있는 엔터티가 쉽게 복구할 수 있습니다.