Oracle ADF Faces 구성 요소의 속성 값은 대개 서버에서만 설정될 수 있습니다. 그러나 구성 요소가 많으면 개발자가 클라이언트에서 설정될 수 있는 속성의 목록을 정의할 수 있습니다. 이러한 구성 요소의 unsecure 속성은 그러한 목록을 지정할 수 있습니다.

현재 unsecure 속성 내에 나타날 수 있는 유일한 속성은 disabled이며, 이는 활성화되는 구성 요소와 그렇지 않은 구성 요소를 클라이언트가 정의하도록 허용합니다. 서버에서만 설정할 수 있는 속성의 값을 클라이언트가 제어하도록 하는 것은 좋은 방법이 아닙니다.

예제 1: 다음 코드는 사용자에게서 비밀번호 정보를 수집하고 unsecure 속성을 사용하는 inputText 구성 요소를 보여줍니다.

...
    <af:inputText id="pwdBox"
                  label="#{resources.PWD}"
                  value=""#{userBean.password}
                  unsecure="disabled"
                  secret="true"
                  required="true"/>
...

쿠키는 RFC 2109에 따라 엄격하게 제한되는 HTTP 메커니즘입니다. file://을 비롯해, HTTP 이외의 프로토콜에서 작동한다고 기대할 합리적인 이유가 없습니다. 어떤 동작이 수행될지, 어떤 보안 분류 규칙이 적용될지가 분명하지 않습니다. 예를 들어 인터넷 공유에서 로컬 디스크로 HTML 파일을 다운로드해야 한다면 HTML 코드처럼 동일한 쿠키가 로컬에 설치됩니까?

디버그 바이너리를 생성하도록 Android 응용 프로그램을 구성할 수 있습니다. 이러한 바이너리는 자세한 디버깅 메시지를 제공하므로 운영 환경에서 사용해서는 안 됩니다. <application> 태그의 debuggable 속성은 컴파일된 바이너리에 디버깅 정보를 포함할지 여부를 정의합니다.

디버그 바이너리를 사용하면 응용 프로그램이 사용자에게 가능한 한 많은 정보를 제공하게 됩니다. 디버그 바이너리는 개발 또는 테스트 환경에서 사용하기 위한 것이며 운영 환경에 배포할 경우 보안 위험을 초래할 수 있습니다. 공격자는 디버깅 출력에서 얻은 자세한 정보를 이용하여 응용 프로그램이 사용하는 프레임워크, 데이터베이스 또는 기타 리소스를 공격할 수 있습니다.

기본적으로 ASP.NET 서버는 HttpSessionState 개체, 해당 속성 및 메모리에서 참조하는 모든 개체를 저장합니다. 이 모델은 단일 시스템의 시스템 메모리가 수용할 수 있는 상태로 활성 세션 상태를 제한합니다. 이 제약의 범위를 넘어 용량을 확장하려면 전체적인 성능을 개선하기 위해 용량을 확장하고 여러 시스템 간의 복제를 허용하는 세션 상태 정보를 지속하도록 서버를 자주 구성해야 합니다. 해당 세션 상태를 유지하려면 저장된 모든 개체가 serializable 상태인 HttpSessionState를 서버가 직렬화해야 합니다.

세션을 올바로 직렬화하려면 응용 프로그램이 세션 속성으로 저장하는 모든 개체에 대해 [Serializable] 속성을 선언해야 합니다. 또한, 개체가 사용자 지정 serialization 메서드를 사용해야 하는 경우 ISerializable 인터페이스도 구현해야 합니다.

예제 1: 다음 클래스는 자신을 세션에 추가하지만 serializable 상태가 아니므로 세션을 올바로 직렬화할 수 없습니다.

public class DataGlob {
   String GlobName;
   String GlobValue;

   public void AddToSession(HttpSessionState session) {
     session["glob"] = this;
   }
}

미들웨어 파이프라인에 올바른 순서로 추가되지 않은 ASP.NET Core 미들웨어는 의도한 대로 작동하지 않아 응용 프로그램이 다양한 보안 문제에 노출될 수 있습니다.

예제 1:UseCookiePolicy() 메서드는 쿠키 정책 미들웨어를 미들웨어 파이프라인에 추가하여 사용자 지정 쿠키 정책을 허용합니다. 표시된 대로 잘못된 순서로 지정하면 프로그래머가 지정한 모든 쿠키 정책이 무시됩니다.

...
var builder = WebApplication.CreateBuilder(...);
var app = builder.Build(...);
app.UseStaticFiles();
app.UseRouting();
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
    ...
}

app.UseCookiePolicy();
...

미들웨어 파이프라인에 올바른 순서로 추가되지 않은 ASP.NET Core 미들웨어는 의도한 대로 작동하지 않아 응용 프로그램이 다양한 보안 문제에 노출될 수 있습니다.

예제 1:UseHttpsRedirection() 메서드는 안전하지 않은 HTTP 요청을 안전한 HTTPS 요청으로 리디렉션할 수 있도록 미들웨어 파이프라인에 HTTPS 리디렉션 미들웨어를 추가합니다. 표시된 대로 잘못된 순서로 지정하면 리디렉션 전에 나열된 미들웨어를 통해 요청을 처리하기 전에 의미 있는 HTTPS 리디렉션이 발생하지 않습니다. 이렇게 하면 안전한 HTTPS 연결로 리디렉션되기 전에 응용 프로그램에서 HTTP 요청을 처리할 수 있습니다.

...
var builder = WebApplication.CreateBuilder(...);
var app = builder.Build(...);
app.UseStaticFiles();
app.UseRouting();
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
    ...
}

app.UseHttpsRedirection();
...

미들웨어 파이프라인에 올바른 순서로 추가되지 않은 ASP.NET Core 미들웨어는 의도한 대로 작동하지 않아 응용 프로그램이 다양한 보안 문제에 노출될 수 있습니다.

예제 1:UseHttpLogging() 메서드는 미들웨어 구성 요소가 로깅할 수 있도록 미들웨어 파이프라인에 HTTP 로깅 미들웨어를 추가합니다. 표시된 대로 잘못된 순서로 지정하면 UseHttpLogging() 호출 전에 파이프라인에 추가된 미들웨어는 로깅되지 않습니다.

...
var builder = WebApplication.CreateBuilder(...);
var app = builder.Build(...);
app.UseStaticFiles();
app.UseRouting();
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
    ...
}

app.UseHttpLogging();
...

예제 2:UseWC3Logging() 메서드는 미들웨어 구성 요소가 로깅할 수 있도록 미들웨어 파이프라인에 W3C 로깅 미들웨어를 추가합니다. 표시된 대로 잘못된 순서로 지정하면 UseWC3Logging() 호출 전에 파이프라인에 추가된 미들웨어는 로깅되지 않습니다.

...
var builder = WebApplication.CreateBuilder(...);
var app = builder.Build(...);
app.UseStaticFiles();
app.UseRouting();
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
    ...
}

app.UseWC3Logging();
...

인증서 확인 모드를 None으로 설정하면 전체 인증 확인 프로세스가 비활성화되므로 응용 프로그램이 MiTM(Man-in-The-Middle: 메시지 가로채기) 공격에 노출됩니다. 운영 환경에서는 이 모드를 사용하면 안 됩니다.

쿠키는 주로 개인 정보, 인증 토큰 및 활동 기록과 같은 사용자에 대한 중요한 정보를 저장하는 데 사용됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키의 내용을 보호하고 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

디버그 바이너리를 생성하도록 ASP .NET 응용 프로그램을 구성할 수 있습니다. 이러한 바이너리는 자세한 디버깅 메시지를 제공하므로 운영 환경에서 사용해서는 안 됩니다. <compilation> 태그의 debug 속성은 컴파일된 바이너리에 디버깅 정보를 포함할지 여부를 정의합니다.

디버그 바이너리를 사용하면 응용 프로그램이 사용자에게 가능한 한 많은 정보를 제공하게 됩니다. 디버그 바이너리는 개발 또는 테스트 환경에서 사용하기 위한 것이며 운영 환경에 배포할 경우 보안 위험을 초래할 수 있습니다. 공격자는 디버깅 출력에서 얻은 자세한 정보를 이용하여 응용 프로그램이 사용하는 프레임워크, 데이터베이스 또는 기타 리소스를 공격할 수 있습니다.

세션을 더 오래 열어둘수록, 공격자가 사용자 계정을 손상시킬 수 있는 기회는 더 커집니다. 세션이 활성화 상태라면 공격자는 사용자의 암호를 무차별 대입하거나 사용자의 무선 암호화 키를 불법으로 복제하거나 열려 있는 브라우저에서 세션을 제멋대로 쓸 수도 있습니다. 또한 인증 시간 초과가 길면 메모리가 해제되지 않으며 충분히 많은 수의 세션이 생성되는 경우 결국 Denial of Service가 발생할 수 있습니다.

예제 1: 다음 예제는 인증 시간 초과가 1시간으로 구성된 ASP.NET MVC를 보여줍니다.

...
<configuration>
  <system.web>
  <authentication>
    <forms
      timeout="60" />
  </authentication>
  </system.web>
</configuration>
...

timeout 속성이 지정되지 않은 경우 인증 시간 초과는 기본적으로 30분으로 설정됩니다.

프로그램이 3가지 중 하나의 방법으로 X.509 인증서를 확인하도록 구성할 수 있습니다. 기본적으로 인증서는 신뢰할 수 있는 루트 기관에 대한 신뢰 체인을 통해 검증됩니다. ChainTrust라고 하는 이 설정은 인증서가 유효하다는 최대 수준의 보증을 제공합니다. 기본적으로 모든 인증서는 ChainTrust를 사용하여 검증됩니다.

신뢰할 수 있는 루트 기관에서 발급하지 않은 인증서를 사용하려면 PeerTrust 또는 PeerOrChainTrust를 설정하여 피어가 발급한 인증서를 신뢰하도록 프로그램을 구성할 수 있습니다. 이러한 설정은 인증서에서 부여하는 보안 수준을 크게 낮추기 때문에 운영 환경에서 사용하면 안 됩니다.

쿠키는 주로 개인 정보, 인증 토큰 및 활동 기록과 같은 사용자에 대한 중요한 정보를 저장하는 데 사용됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키의 내용을 보호하고 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

web.config에서 configuration/system.web/authentication/forms 요소의 cacheRolesInCookie 속성을 true로 설정하면 각 사용자에 대한 역할이 쿠키에 캐시됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

ASP.NET 웹 서비스는 웹 서비스와의 통신 방법을 설명하는 문서를 자동으로 생성하여 웹 서비스 클라이언트의 개발을 용이하게 합니다.

문서 프로토콜이 활성화된 웹 서비스는 브라우저 요청이 수신될 때 HTML 형식의 페이지를 생성합니다.

이 HTML 형식 페이지는 다음 정보를 설명합니다.
1. 지원되는 작업
2. 각 작업에서 수락하는 매개 변수
3. 해당 매개 변수로 전달되어야 하는 데이터 유형

문서 프로토콜은 XML 형식의 WSDL(웹 서비스 기술 언어) 파일도 생성합니다. 이 파일은 응용 프로그램이 웹 서비스에 대한 요청을 구성하는 방법을 이해할 수 있도록 설계되었습니다. 이 정보는 개발자, 특히 공용 웹 서비스용 클라이언트를 만드는 개발자에게 매우 유용할 수 있습니다. 그러나 개인 웹 서비스의 기능에 대한 자세한 정보를 공개하면 악의적인 공격자가 웹 서비스를 남용할 위험이 높아집니다. 문서 프로토콜은 항상 웹 서비스의 모든 함수와 매개 변수를 설명합니다. 이러한 함수의 일부만 공개적으로 액세스할 수 있도록 의도된 경우에도 마찬가지입니다.

ASP .NET 응용 프로그램은 프레임워크 기본 페이지 대신 사용자 지정 오류 페이지를 사용하도록 구성되어야 합니다. 기본 오류 페이지는 발생한 오류에 대한 자세한 정보를 제공하므로 운영 환경에서 사용해서는 안 됩니다. <customErrors> 태그의 mode 속성은 사용자 지정 오류 페이지와 기본 오류 페이지 중 어느 것을 사용할지 결정합니다.

공격자는 기본 오류 페이지에서 얻은 자세한 정보를 이용하여 응용 프로그램이 사용하는 프레임워크, 데이터베이스 또는 기타 리소스를 공격할 수 있습니다.

기본적으로 ASP.NET은 ViewState, FormsAuth cookies 및 ScriptResource.axd URL과 같은 페이로드를 해독하기 전에 암호화 서명을 내부에서 검증하고 추가 처리를 위해 이러한 값을 응용 프로그램에 전달합니다. 그러나 aspnet:UseLegacyEncryption 설정을 사용하여 페이로드 해독 전에 암호화 서명 확인을 비활성화하도록 이 기능을 수정할 수 있습니다. 그러면 악성 클라이언트에서 암호화된 데이터를 해독, 위조 또는 변조할 수 있습니다.

예제 1: 다음 예에서, aspnet:UseLegacyEncryption이 true로 설정됩니다.

...
  <appSettings>
    <add key="aspnet:UseLegacyEncryption" value="true" />
  </appSettings>
...

ASP.NET 응용 프로그램은 ASP.NET 응용 프로그램의 web.config 파일에 있는 <credentials> 요소에 사용자 이름과 암호 쌍을 저장할 수 있습니다. ASP.NET 응용 프로그램은 일반 텍스트, MD5 및 SHA1 암호 형식을 지원합니다.

일반 텍스트로 저장된 암호 또는 약한 암호화 알고리즘을 사용하는 암호는 응용 프로그램의 구성 파일에 액세스할 수 있는 모든 사람이 액세스할 수 있습니다. 여기에는 응용 프로그램이 호스팅되는 시스템 또는 응용 프로그램이 있는 소스 코드 리포지토리가 포함될 수 있습니다.

예제 1: 다음 web.config 항목은 암호를 일반 텍스트로 잘못 저장합니다.

<configuration>
  <system.web>
    <authentication>
      <forms protection="All">
	   <credentials passwordFormat="Clear">
   		<user name="user1" password="my_password"/>
		<user name="user2" password="my_password1"/>
        </credentials>
    	 </forms>
    </authentication>
  </system.web>
</configuration>

ASP.NET은 configuration/system.web/authentication/forms/credentials 요소의 passwordFormat 속성으로 지정되는 3가지 형식으로 저장된 자격 증명 암호를 지원합니다. 이 속성의 가능한 값은 다음과 같습니다.

Clear - 암호가 일반 텍스트로 저장되었음을 나타냄(최소 보안)
MD5 - 암호의 MD5 해시가 저장되었음을 나타냄
SHA1- 암호의 SHA1 해시가 저장되었음을 나타냅니다(최고 보안).

MD5 해시는 일반 텍스트보다 안전하지만 연구원들은 MD5 해시 알고리즘에 대한 무차별 대입 공격을 발견했습니다. 이런 경우더라도 SHA1 해시는 그러한 공격에 대해 적절한 보호를 제공합니다.

확인되지 않은 입력은 ASP.NET 응용 프로그램 취약점의 주된 원인입니다. 확인되지 않은 입력은 Cross-Site Scripting, Process Control 및 SQL Injection 등 수많은 취약점을 야기할 수 있습니다.

이런 공격을 막기 위해 ASP.NET 검증 프레임워크를 사용하여 응용 프로그램이 처리하기 전에 모든 프로그램 입력을 검사합니다.

검증 프레임워크 사용 예제에는 다음과 같은 검사가 포함됩니다.

- 전화 번호 필드에는 전화 번호로서 유효한 문자만 사용합니다.
- 부울 값은 "T"와 "F"뿐입니다.
- 자유 형식 문자열은 적절한 길이와 구성을 유지합니다.

web.config에서 configuration/system.web/authentication/forms 요소의 cacheRolesInCookie 속성을 true로 설정하면 각 사용자에 대한 역할이 쿠키에 캐시됩니다. 이 정보가 일반 텍스트로 저장되면 응용 프로그램과 상호 작용하는 데 사용되는 시스템에 액세스할 수 있는 모든 사람이 쿠키에 저장된 정보에 액세스할 수 있습니다. 설상가상으로 공격자가 쿠키에 저장된 데이터를 임의로 수정할 수 있는 경우 응용 프로그램에 제공된 정보를 왜곡하고 공격자에게 유리하도록 동작을 수정할 수 있습니다.

대부분의 경우, 응용 프로그램이 사용된 컨텍스트에 따라 프로그래밍 방식으로 쿠키에서 입력을 확인할 수 있지만 ASP.NET 검증 프레임워크는 쿠키가 예상치 않게 수정되었음을 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.