계: Security Features
소프트웨어 보안은 보안 소프트웨어가 아닙니다. 여기서는 인증, 액세스 제어, 기밀성, 암호화, 권한 관리 등의 항목에 대해 설명합니다.
Spring Boot Misconfiguration: Admin MBean Enabled
Abstract
Spring Boot 응용 프로그램은 관리 MBean을 노출하도록 구성됩니다.
Explanation
Spring Boot에서 개발자는
참고: CVE-2016-3427(2016년 4월 Java 8 업데이트 91에서 해결됨)에 취약한 JRE 버전을 사용하는 경우 공격자는 직렬화된 Java 개체를 자격 증명으로 전달하여 원격 JVM이 이를 역직렬화할 때 임의의 코드를 실행할 수 있습니다.
spring.application.admin.enabled 속성을 지정하여 응용 프로그램의 관리 관련 기능을 활성화할 수 있습니다. 이렇게 하면 MBeanServer 플랫폼에서 SpringApplicationAdminMXBean이 노출됩니다. 개발자는 이 기능을 사용하여 원격으로 Spring Boot 응용 프로그램을 관리할 수 있지만 이 기능은 원격 JMX 끝점의 형태로 추가 공격 표면을 노출합니다. MBeanServer의 구성에 따라 MBean은 로컬 또는 원격으로 노출될 수 있으며 인증을 요구하거나 요구하지 않을 수 있습니다. 최악의 경우 공격자는 인증 없이 응용 프로그램을 종료하는 것을 포함하여 원격으로 응용 프로그램을 관리할 수 있습니다. 최상의 경우 서비스는 서버를 보호하는 데 사용되는 자격 증명만큼 강력해집니다.참고: CVE-2016-3427(2016년 4월 Java 8 업데이트 91에서 해결됨)에 취약한 JRE 버전을 사용하는 경우 공격자는 직렬화된 Java 개체를 자격 증명으로 전달하여 원격 JVM이 이를 역직렬화할 때 임의의 코드를 실행할 수 있습니다.
References
[1] Spring Boot Reference Guide Spring
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 7.3.1
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 7.3.1
[11] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.spring_boot_misconfiguration_admin_mbean_enabled