계: Code Quality

코드 품질이 낮으면 예측할 수 없는 동작이 발생합니다. 사용자 입장에서는 사용 편의성이 떨어지는 것으로 나타나는 경우가 많습니다. 공격자에게는 예상치 못한 방법으로 시스템에 부담을 줄 수 있는 기회가 됩니다.

Portability Flaw: Locale Dependent Comparison

Java/JSP

Abstract

로케일이 지정되지 않은 경우 예기치 않은 이식성 문제가 발생할 수 있습니다.

Explanation

로케일에 따라 달라질 수 있는 데이터를 비교할 때는 적절한 로케일을 지정해야 합니다.

예제 1: 다음 예제에서는 검증 수행을 시도하여 사용자 입력에 <script> 태그가 포함되어 있는지 확인합니다.


  ...
  public String tagProcessor(String tag){
    if (tag.toUpperCase().equals("SCRIPT")){
      return null;
    }
    //does not contain SCRIPT tag, keep processing input
    ...
  }
  ...

Example 1의 문제는 java.lang.String.toUpperCase()를 로케일 없이 사용하는 경우 기본 로케일의 규칙이 사용된다는 점입니다. 터키어 로케일 "title".toUpperCase()를 사용하는 경우 “T\u0130TLE”가 반환되며, 여기서 “\u0130”은 “위에 점이 있는 라틴어 대문자” 문자입니다. 이로 인해 예기치 않은 결과가 발생할 수 있습니다. 예를 들어 Example 1에서는 이 코드를 사용하면 “script” 단어가 이 검증에서 catch되지 않아 Cross-Site Scripting 취약점이 발생할 수 있습니다.

References

[1] STR02-J. Specify an appropriate locale when comparing locale-dependent data CERT

[2] String (JavaDoc) Oracle

[3] Standards Mapping - Common Weakness Enumeration CWE ID 474

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001310

[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[13] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[14] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[15] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection

[16] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002520 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002520 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002520 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002520 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002520 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002520 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002520 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002520 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002520 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002520 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002520 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002520 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002520 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002520 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002520 CAT II

desc.controlflow.java.portability_flaw_locale_dependent_comparison