[AllowAnonymous] 속성을 사용하여 [Authorize] 속성이 부여한 권한 부여를 우회합니다.[Authorize] 속성을 클래스 또는 메서드에 추가하여 응용 프로그램 작업에 권한 부여가 필요하도록 만들 수 있습니다. 또한 [AllowAnonymous] 속성을 추가하여 응용 프로그램 클래스 또는 메서드의 지정된 권한 부여 요구 사항을 우회할 수 있습니다. 둘 다 지정하면 [AllowAnonymous] 속성이 우선적으로 적용되고 [Authorize] 속성을 우회합니다. 이로 인해 공격자가 민감한 데이터 및 작업에 임의로 익명으로 액세스할 수 있습니다.[Authorize] 속성을 재정의하는 클래스 수준의 [AllowAnonymous] 속성을 보여줍니다. secretAction() 메서드는 [Authorize] 속성이 있음에도 불구하고 권한 부여가 필요하지 않습니다.예제 2: 다음 예제는 하위 클래스의 메서드에 설정된
...
[AllowAnonymous]
public class Authorization_Test
{
[Authorize]
public IActionResult secretAction()
{
}
}
...
[Authorize] 속성을 재정의하는 슈퍼클래스 클래스 수준의 [AllowAnonymous] 속성을 보여줍니다. 상속된 클래스 Inherit_AA의 [AllowAnonymous] 속성으로 인해 secretAction() 메서드는[Authorize] 속성을 지정함에도 불구하고 권한 부여가 필요하지 않습니다.예제 3: 다음은 상속이 있는 메서드 수준에서
...
[AllowAnonymous]
public abstract class Inherit_AA
{
}
public class Authorization_Test:Inherit_AA
{
[Authorize]
public IActionResult secretAction()
{
}
}
...
[Authorize] 속성을 재정의하는 [AllowAnonymous] 속성을 보여줍니다. 상속된 메서드 secretAction()의 [AllowAnonymous] 속성으로 인해 secretAction() 메서드는[Authorize] 속성을 지정함에도 불구하고 권한 부여가 필요하지 않습니다.
...
public abstract class Inherit_AA
{
[AllowAnonymous]
public abstract IActionResult secretAction()
{
}
}
public class Authorization_Test:Inherit_AA
{
[Authorize]
public override IActionResult secretAction()
{
}
}
...
BinaryFormatter 클래스를 활성화합니다.BinaryFormatter 클래스를 사용하여 개체를 개체 자체와 역직렬화 중 이를 재구성하는 데 필요한 메타데이터를 모두 포함하는 바이너리 스트림으로 변환할 수 있습니다.BinaryFormatter 클래스를 사용하면 공격자가 임의의 코드를 실행하고 응용 프로그램 논리를 남용하거나 서비스 거부(DoS) 조건을 트리거할 수 있는 안전하지 않은 역직렬화 시나리오로 이어질 수 있습니다. BinaryFormatter 유형 사용은 위험하며 안전하게 보호할 수 없으므로 데이터 처리에 사용하지 않는 것이 좋습니다.EnableUnsafeBinaryFormatterSerialization을 true로 설정하여 안전하지 않은 BinaryFormatter 클래스의 사용을 활성화합니다.
...
AppContext.SetSwitch("System.Runtime.Serialization.EnableUnsafeBinaryFormatterSerialization", true);
...
BinaryFormatter 클래스를 활성화합니다.BinaryFormatter 클래스를 사용하여 개체를 개체 자체와 역직렬화 중 이를 재구성하는 데 필요한 메타데이터를 모두 포함하는 바이너리 스트림으로 변환할 수 있습니다.BinaryFormatter 클래스를 사용하면 공격자가 임의의 코드를 실행하고 응용 프로그램 논리를 남용하거나 서비스 거부(DoS) 조건을 트리거할 수 있는 안전하지 않은 역직렬화 시나리오로 이어질 수 있습니다. BinaryFormatter 클래스 사용은 위험하며 안전하게 보호할 수 없으므로 데이터 처리에 사용하지 않는 것이 좋습니다.EnableUnsafeBinaryFormatterSerialization을 true로 설정하여 안전하지 않은 BinaryFormatter 클래스의 사용을 활성화합니다.
{
"configProperties": {
"System.Runtime.Serialization.EnableUnsafeBinaryFormatterSerialization": true
}
}
<apex:page controller="accessControl">
<apex:pageBlock >
<apex:pageBlockSection >
<apex:outputText value="Survey Name: "/>
<apex:inputText value="{!surveyName}"/>
</apex:pageBlockSection>
<apex:pageBlockSection >
<apex:outputText value="New Name: "/>
<apex:inputText value="{!newSurveyName}"/>
</apex:pageBlockSection>
<apex:pageBlockSection >
<apex:commandButton value="Update" action="{!updateName}"/>
</apex:pageBlockSection>
</apex:pageBlock>
</apex:page>
public String surveyName { get; set; }
public String newSurveyName { get; set; }
public PageReference updateName() {
Survey__c s = [SELECT Name FROM Survey__c WHERE Name=:surveyName];
s.Name = newSurveyName;
update s;
PageReference page = ApexPages.currentPage();
page.setRedirect(true);
return page;
}
String canned_acl = request.getParameter("acl");
CreateBucketRequest createBucketRequest = CreateBucketRequest.builder()
.bucket("foo")
.acl(canned_acl)
.createBucketConfiguration(CreateBucketConfiguration.builder().locationConstraint(region.id()).build())
.build();
acl 매개 변수를 선택한다고 해도 공격자는 이를 public-read-write로 설정하고 버킷에 대한 전체 익명 액세스 권한을 부여할 수 있습니다.
...
String selectedInvoice = request.getParameter("invoiceDate");
...
AmazonSimpleDBClient sdbc = new AmazonSimpleDBClient(appAWSCredentials);
GetAttributesResult sdbResult = sdbc.getAttributes(new GetAttributesRequest("invoices", selectedInvoice));
...
Example 1의 코드는 현재 사용자의 송장 목록을 생성하지만 공격자는 이 동작을 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
id = this.getIntent().getExtras().getInt("id");
cursor = db.query(Uri.parse(invoices), columns, "id = ? ", {id}, null, null, null);
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 쿼리에서 현재 사용자의 송장 ID 목록을 생성하지만 공격자는 이 동작을 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.DirectoryEntry de를 생성합니다.
...
de = new DirectoryEntry("LDAP://ad.example.com:389/ou=People,dc=example,dc=com");
...
de에 대해 실행된 모든 LDAP 쿼리는 authentication 및 access control 없이 수행됩니다. 공격자는 디렉터리의 액세스 제어 메커니즘으로 보호되는 레코드에 대한 액세스를 얻기 위해 예기치 못한 방법으로 이러한 쿼리 중 하나를 조작할 수도 있습니다.ldap_simple_bind_s()를 사용하여 LDAP 디렉터리에 익명으로 바인딩합니다.
...
rc = ldap_simple_bind_s( ld, NULL, NULL );
if ( rc != LDAP_SUCCESS ) {
...
}
...
ld에 대해 실행된 모든 LDAP 쿼리는 authentication 및 access control 없이 수행됩니다. 공격자는 디렉터리의 액세스 제어 메커니즘으로 보호되는 레코드에 대한 액세스를 얻기 위해 예기치 못한 방법으로 이러한 쿼리 중 하나를 조작할 수도 있습니다.DirContext ctx를 생성합니다.
...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);
...
ctx에 대해 실행된 모든 LDAP 쿼리는 authentication 및 access control 없이 수행됩니다. 공격자는 디렉터리의 액세스 제어 메커니즘으로 보호되는 레코드에 대한 액세스를 얻기 위해 예기치 못한 방법으로 이러한 쿼리 중 하나를 조작할 수도 있습니다.
...
$ldapbind = ldap_bind ($ldap, $dn, $password = "" );
...
...
PARAMETERS: p_xfeld TYPE xfeld.
...
CALL FUNCTION 'BAPI_EMPLOYEE_GETDATA'
EXPORTING
employee_id = emp_id
authority_check = p_xfeld
IMPORTING
return = ret
TABLES
org_assignment = org_data
personal_data = pers_data
internal_control = con_data
communication = comm_data
archivelink = arlink.
...
p_xfeld 매개 변수에 공백을 제공하면 직원의 개인 정보 및 연락처 정보를 반환하기 전에 권한 부여 검사가 수행되지 않습니다.예제 2: 다음 코드에서는 지정된 blob 컨테이너와 해당 콘텐트를 삭제합니다.
...
var queueName = queryStringData['name'];
var queueSvc;
queueSvc = azureStorage.createQueueService();
...
queueSvc.deleteQueue(queueName, option, function(error, response){
if(!error){
// all the messages has been deleted
}
});
...
...
var containerName = queryStringData['name'];
var blobSvc;
blobSvc = azureStorage.createBlobService();
...
blobSvc.deleteContainer(containerName, function (error, response) {
if (!error) {
// all the content in the given container has been deleted
}
});
...
Example 1과 Example 2의 코드는 현재 사용자/프로그램에 속하는 지정된 큐/blob 컨테이너 및 해당 메시지/콘텐트를 삭제하지만 공격자는 해당 Azure 계정의 모든 큐/blob를 삭제할 수 있습니다. 이 예제의 코드는 사용자/프로그램에게 요청한 큐/blob를 지울 권한이 있는지를 확인하지 않으므로 현재 사용자/프로그램에 속하지 않는 큐/blob도 지웁니다.
public boolean isTrusted(String paramString) {
if (this._applicationContext.getPackageName().equalsIgnoreCase(paramString)) {
return true;
}
DATA: id TYPE i.
...
id = request->get_form_field( 'invoiceID' ).
CONCATENATE `INVOICEID = '` id `'` INTO cl_where.
SELECT *
FROM invoices
INTO CORRESPONDING FIELDS OF TABLE itab_invoices
WHERE (cl_where).
ENDSELECT.
...
ID의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
var id:int = int(Number(params["invoiceID"]));
var query:String = "SELECT * FROM invoices WHERE id = :id";
stmt.sqlConnection = conn;
stmt.text = query;
stmt.parameters[":id"] = id;
stmt.execute();
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.inputID 값은 사전 정의된 목록에서 제공되며, 바인딩 변수는 SOQL/SOSL injection을 방지하는 데 도움이 됩니다.
...
result = [SELECT Name, Phone FROM Contact WHERE (IsDeleted = false AND Id=:inputID)];
...
inputID의 값을 수정하지 못하도록 방지하기에는 불충분하다는 점입니다. 공격자가 인터페이스를 우회하고 다른 값으로 요청을 전송할 수 있는 경우 공격자는 다른 연락처 정보에 액세스할 수 있습니다. 이 예제의 코드는 사용자가 요청된 연락처에 액세스할 수 있는 권한이 있는지 확인하지 않으므로, 사용자가 볼 권한이 없는 경우에도 모든 연락처를 표시합니다.
...
int16 id = System.Convert.ToInt16(invoiceID.Text);
var invoice = OrderSystem.getInvoices()
.Where(new Invoice { invoiceID = id });
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
CMyRecordset rs(&dbms);
rs.PrepareSQL("SELECT * FROM invoices WHERE id = ?");
rs.SetParam_int(0,atoi(r.Lookup("invoiceID").c_str()));
rs.SafeExecuteSQL();
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
ACCEPT ID.
EXEC SQL
DECLARE C1 CURSOR FOR
SELECT INVNO, INVDATE, INVTOTAL
FROM INVOICES
WHERE INVOICEID = :ID
END-EXEC.
...
ID의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.deleteDatabase 메서드를 실행하면 공격자가 모든 데이터베이스를 삭제할 수 있게 됩니다.
...
id := request.FormValue("invoiceID")
query := "SELECT * FROM invoices WHERE id = ?";
rows, err := db.Query(query, id)
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
id = Integer.decode(request.getParameter("invoiceID"));
String query = "SELECT * FROM invoices WHERE id = ?";
PreparedStatement stmt = conn.prepareStatement(query);
stmt.setInt(1, id);
ResultSet results = stmt.execute();
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.Example 1을 Android 플랫폼에 맞게 조정합니다.
...
String id = this.getIntent().getExtras().getString("invoiceID");
String query = "SELECT * FROM invoices WHERE id = ?";
SQLiteDatabase db = this.openOrCreateDatabase("DB", MODE_PRIVATE, null);
Cursor c = db.rawQuery(query, new Object[]{id});
...
...
var id = document.form.invoiceID.value;
var query = "SELECT * FROM invoices WHERE id = ?";
db.transaction(function (tx) {
tx.executeSql(query,[id]);
}
)
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
NSManagedObjectContext *context = [appDelegate managedObjectContext];
NSEntityDescription *entityDesc = [NSEntityDescription entityForName:@"Invoices" inManagedObjectContext:context];
NSFetchRequest *request = [[NSFetchRequest alloc] init];
[request setEntity:entityDesc];
NSPredicate *pred = [NSPredicate predicateWithFormat:@"(id = %@)", invoiceId.text];
[request setPredicate:pred];
NSManagedObject *matches = nil;
NSError *error;
NSArray *objects = [context executeFetchRequest:request error:&error];
if ([objects count] == 0) {
status.text = @"No records found.";
} else {
matches = [objects objectAtIndex:0];
invoiceReferenceNumber.text = [matches valueForKey:@"invRefNum"];
orderNumber.text = [matches valueForKey:@"orderNumber"];
status.text = [NSString stringWithFormat:@"%d records found", [objects count]];
}
[request release];
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
$id = $_POST['id'];
$query = "SELECT * FROM invoices WHERE id = ?";
$stmt = $mysqli->prepare($query);
$stmt->bind_param('ss',$id);
$stmt->execute();
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
procedure get_item (
itm_cv IN OUT ItmCurTyp,
id in varchar2)
is
open itm_cv for ' SELECT * FROM items WHERE ' ||
'invoiceID = :invid' ||
using id;
end get_item;
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
id = request.POST['id']
c = db.cursor()
stmt = c.execute("SELECT * FROM invoices WHERE id = %s", (id,))
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
id = req['invoiceID'].respond_to(:to_int)
query = "SELECT * FROM invoices WHERE id=?"
stmt = conn.prepare(query)
stmt.execute(id)
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
def searchInvoice(value:String) = Action.async { implicit request =>
val result: Future[Seq[Invoice]] = db.run {
sql"select * from invoices where id=$value".as[Invoice]
}
...
}
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
let fetchRequest = NSFetchRequest()
let entity = NSEntityDescription.entityForName("Invoices", inManagedObjectContext: managedContext)
fetchRequest.entity = entity
let pred : NSPredicate = NSPredicate(format:"(id = %@)", invoiceId.text)
fetchRequest.setPredicate = pred
do {
let results = try managedContext.executeFetchRequest(fetchRequest)
let result : NSManagedObject = results.first!
invoiceReferenceNumber.text = result.valueForKey("invRefNum")
orderNumber.text = result.valueForKey("orderNumber")
status.text = "\(results.count) records found"
} catch let error as NSError {
print("Error \(error)")
}
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
id = Request.Form("invoiceID")
strSQL = "SELECT * FROM invoices WHERE id = ?"
objADOCommand.CommandText = strSQL
objADOCommand.CommandType = adCmdText
set objADOParameter = objADOCommand.CreateParameter("id" , adString, adParamInput, 0, 0)
objADOCommand.Parameters("id") = id
...
id의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.
...
ACCEPT ID.
EXEC DLI
GU
SEGMENT(INVOICES)
WHERE (INVOICEID = ID)
END-EXEC.
...
ID의 가능한 모든 값을 고려할 수 없다는 점입니다. 인터페이스에서 현재 사용자의 송장 ID 목록을 생성하더라도 공격자는 이 인터페이스를 무시하고 원하는 송장을 요청할 수 있습니다. 이 예제의 코드가 사용자가 요청한 송장에 접근할 수 있는 권한이 있는지 확인하지 않기 때문에 현재 사용자의 송장이 아닌 송장도 모두 표시합니다.aspnet:UseLegacyFormsAuthenticationTicketCompatibility 설정을 사용하여 검증되지 않은 입력이 기본 API로 전달되도록 허용하고 공격자가 인증을 우회할 수 있도록 이 기능을 수정할 수 있다는 것입니다. 이 취약점 악용에 성공한 공격자는 알려진 사용자 이름에 대해 암호 없이 ASP.NET 양식 인증을 우회할 수 있습니다. 그런 다음 사이트에서 임의의 명령을 실행하는 것을 포함하여 피해 사용자의 컨텍스트에서 모든 작업을 수행할 수 있습니다.aspnet:UseLegacyFormsAuthenticationTicketCompatibility이 true로 설정됩니다.
...
<appSettings>
<add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
</appSettings>
...
Metadata 개체가 수락됩니다.Metadata 클래스는 Google Remote Procedure Call(gRPC)에서 사용하는 기본 프로토콜의 헤더 데이터를 저장하는 데 사용되는 경우가 많습니다. io.grpc.ServerInterceptor 클래스를 구현할 때는 Metadata 개체를 확인해야 하며 예외가 발생하면 오류를 반환해야 합니다.Metadata 개체의 입력으로 사용되는 사용자 제어 가능 데이터가 나와 있습니다. 이 개체는 예외가 catch된 후 다음 io.grpc.ServerCallHandler 개체로 전달됩니다.
class PotentialAuthByPassInterceptor implements ServerInterceptor {
@Override
public <ReqT, RespT> ServerCall.Listener<ReqT> interceptCall(ServerCall<ReqT, RespT> call, Metadata metadata, ServerCallHandler<ReqT, RespT> next) {
try {
customValidate(metadata);
} catch (RuntimeException e) {
return next.startCall(call, metadata);
}
...
return Contexts.interceptCall(Context.current(), call, metadata, next);
}
}
static string AllowlistVerify(string name) {
Regex pattern = new Regex(@"^[a-zA-Z\-\.']+$");
if (pattern.IsMatch(name)) {
return name;
}
return null;
}
...
string verifiedName = AllowlistVerify(managerName.Text.trim());
if(verifiedName != null) {
DirectorySearcher src = new DirectorySearcher("(manager=" + verifiedName + ")");
src.SearchRoot = de;
src.SearchScope = SearchScope.Subtree;
foreach(SearchResult res in src.FindAll()) {
...
}
}
empName의 다른 값을 제공할 경우 발생될 일에 대해 고려하지 못했다는 점입니다. 인터페이스에서 현재 사용자의 직원 ID를 자동으로 제공하지만 공격자는 악의적인 요청의 일부로 다른 값을 제공할 수 있습니다. 이 예제의 코드가 익명의 바인딩에서 쿼리를 실행하므로 현재 인증된 사용자의 ID와 관계 없이 올바른 직원 ID에 대한 디렉터리 항목을 반환할 것입니다.
char* allowlist_verify(char* name) {
const char *error;
int errOffset;
char* regex = "^[a-zA-Z\\-\\.']+$";
pcre* re = pcre_compile(regex, 0, &err, &errOffset, NULL);
int rc = pcre_exec(re, NULL, name, strlen(name), 0, 0, NULL, 0);
if (rc == 1)
return name;
return NULL;
}
...
fgets(managerName, sizeof(managerName), socket);
char* verified_name = allowlist_verify(managerName);
if(verified_name != NULL) {
snprintf(filter, sizeof(filter), "(manager=%s)", verified_name);
if ( ( rc = ldap_search_ext_s( ld, FIND_DN, LDAP_SCOPE_BASE,
filter, NULL, 0, NULL, NULL, LDAP_NO_LIMIT,
LDAP_NO_LIMIT, &result ) ) == LDAP_SUCCESS ) {
...
}
}
username의 다른 값을 제공할 경우 발생될 일에 대해 고려하지 못했다는 점입니다. 이 예제의 코드가 익명의 바인딩에서 쿼리를 실행하므로 현재 인증된 사용자의 ID와 관계 없이 올바른 직원 ID에 대한 디렉터리 항목을 반환할 것입니다.
...
env.put(Context.SECURITY_AUTHENTICATION, "none");
DirContext ctx = new InitialDirContext(env);
String empID = request.getParameter("empID");
try
{
int id = Integer.parseInt(empID);
BasicAttribute attr = new BasicAttribute("empID", empID);
NamingEnumeration employee =
ctx.search("ou=People,dc=example,dc=com",attr);
...
empID의 다른 값을 제공할 경우 발생될 일에 대해 고려하지 못했다는 점입니다. 인터페이스에서 현재 사용자의 직원 ID를 자동으로 제공하지만 공격자는 악의적인 요청의 일부로 다른 값을 제공할 수 있습니다. 이 예제의 코드가 익명의 바인딩에서 쿼리를 실행하므로 현재 인증된 사용자의 ID와 관계 없이 올바른 직원 ID에 대한 디렉터리 항목을 반환할 것입니다.CALL TRANSACTION WITHOUT AUTHORITY-CHECK를 사용하여 프로그래밍 트랜잭션 호출을 시작하거나, AUTHORITY-CHECK 문을 제대로 구현하지 않고 CALL TRANSACTION을 사용하여 프로그래밍 트랜잭션 호출을 시작하는 경우 사용자는 권한이 없는 트랜잭션을 시작할 수 있습니다.
...
CALL TRANSACTION 'SA38' WITHOUT AUTHORITY-CHECK.
...
MQOD-ALTERNATEUSERID 및 MQOD-ALTERNATESECURITYID 필드를 제어하는 데 사용합니다.
...
10 MQOD.
** Alternate user identifier
15 MQOD-ALTERNATEUSERID PIC X(12).
** Alternate security identifier
15 MQOD-ALTERNATESECURITYID PIC X(40).
...
...
ACCEPT MQOD-ALTERNATEUSERID.
ACCEPT MQOD-ALTERNATESECURITYID.
CALL 'MQOPEN' USING HCONN, MQOD, OPTS, HOBJ, COMPOCODE REASON.
...
AUTHORITY-CHECK 문을 추가 FOR USER와 함께 사용AUTHORITY_CHECK 함수 모듈 호출SU_RAUTH_CHECK_FOR_USER 함수 모듈 호출
...
AUTHORITY-CHECK OBJECT 'S_TCODE' FOR USER v_user
ID 'TCD' FIELD 'SA38'.
IF sy-subrc = 0.
CALL TRANSACTION 'SA38'.
ELSE.
...