계: Encapsulation
캡슐화는 강력한 경계를 그리는 것입니다. 웹 브라우저에서는 사용자의 모바일 코드가 다른 모바일 코드에 의해 오용되지 않도록 하는 것을 의미합니다. 서버에서는 검증된 데이터와 검증되지 않은 데이터, 한 사용자의 데이터와 다른 사용자의 데이터, 데이터 사용자가 볼 수 있는 데이터와 볼 수 없는 데이터 간의 차별화를 의미할 수 있습니다.
ColdFusion Bad Practices: Leftover Debug Code
Abstract
<cfdump>
태그는 배포된 웹 응용 프로그램의 민감한 정보를 누출할 수 있습니다.Explanation
디버깅 또는 테스트 목적을 위한 변수 값을 배포된 응용 프로그램에 제공되거나 활성 상태로 유지되지 않는 코드와 함께 출력하는 것은 일반적인 관행입니다. 이러한 유형의 디버그 코드가 실수로 응용 프로그램에 남아 있게 되면 해당 응용 프로그램은 예기치 않은 방식으로 공격자에게 정보를 제공할 수 있습니다. 모든 디버깅 문이 민감한 정보 또는 개인 정보를 누출하는 것은 아닙니다. 하지만 디버깅 문이 있으면 주변의 코드가 무시되어 복구할 수 없는 상태가 되는 경우가 많습니다.
ColdFusion에서 실수로 남겨둔 디버그 코드의 가장 일반적인 예는
ColdFusion에서 실수로 남겨둔 디버그 코드의 가장 일반적인 예는
<cfdump>
태그입니다. 제품 개발 중에는 <cfdump>
의 사용이 허용되더라도 운영 웹 응용 프로그램에 속한 코드를 담당하는 개발자는 <cfdump>
태그의 사용을 허용할지 여부를 신중하게 고려해야 합니다.References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 215
[2] Standards Mapping - Common Weakness Enumeration Top 25 2019 [4] CWE ID 200
[3] Standards Mapping - Common Weakness Enumeration Top 25 2020 [7] CWE ID 200
[4] Standards Mapping - Common Weakness Enumeration Top 25 2021 [20] CWE ID 200
[5] Standards Mapping - FIPS200 SI
[6] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[7] Standards Mapping - OWASP Application Security Verification Standard 4.0 8.3.4 Sensitive Private Data (L1 L2 L3), 14.3.2 Unintended Security Disclosure Requirements (L1 L2 L3)
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 3.6 - Sensitive Data Retention
[10] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 3.6 - Sensitive Data Retention
[11] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 3.6 - Sensitive Data Retention
[12] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3120 CAT II
[13] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3120 CAT II
[14] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3120 CAT II
[15] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3120 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3120 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3120 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3120 CAT II
[19] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)
desc.semantic.cfml.coldfusion_badpractices_leftover_debug_code