FortifyDangerous 주석이 이 필드에 적용되었습니다. 이는 위험하다는 것을 표시하는 데 사용되며 모든 사용은 안전을 위해 검토해야 합니다.

일부 함수는 사용 방법에 관계 없이 위험하게 동작합니다. 이 카테고리에 속하는 함수는 보안 문제를 고려하지 않고 구현된 것입니다.

일부 함수는 사용 방법에 관계 없이 위험하게 동작합니다. 이 카테고리에 속하는 함수는 보안 문제를 고려하지 않고 구현된 것입니다.

특정 함수는 사용 방법에 관계없이 위험한 방식으로 동작합니다. 이 카테고리의 함수는 보안을 고려하지 않고 구현된 경우가 많습니다.

예제 1:http://www.example.com/index.php?param=...이라는 URL에서 index.php 내 php의 다음 조각은 "0 또는 더 많은 영숫자"를 표시하는 POSIX 정규식 '^[[:alnum:]]*$'와 일치하는 경우 화면에 URL 매개 변수 param("..."의 지난 자리) 값을 인쇄합니다.

  <?php
    $pattern = '^[[:alnum:]]*$';
    $string = $_GET['param'];
    if (ereg($pattern, $string)) {
      echo($string);
    }
  ?>

Example 1이 영숫자 입력과 함께 예상대로 작동하는 동안 불안전한 ereg() 함수는 감염된 입력 확인에 사용되므로 null byte injection을 통해 Cross-Site Scripting(XSS) 공격을 수행할 수 있습니다. null 바이트와 <script> 태그가 붙는 유효한 영숫자 문자열을 포함한 param 값을 전달하면(예: "Hello123%00<script>alert("XSS")</script>") ereg() 함수가 입력 문자열을 왼쪽에서 오른쪽으로 읽을 때 null 바이트 문자 뒤에 오는 모든 사항을 무시하며 ereg($pattern, $string)은 true를 계속 반환합니다. 이 예제에서는 null 바이트 뒤에 삽입된 <script> 태그가 사용자에게 표시되며 평가된다는 의미입니다.

일부 함수는 사용 방법에 관계 없이 위험하게 동작합니다. xp_cmdshell 함수는 Windows 명령 셸을 시작하여 제공된 명령 문자열을 실행합니다. 명령은 기본 시스템이나 제공된 프록시 컨텍스트에서 실행됩니다. 그러나 미리 지정된 권한 작업 세트에 대해 사용자를 제한할 수 없으며 권한 승인은 사용자가 명령 문자열을 실행할 수 있도록 합니다.

FortifyDangerous 주석이 이 메서드에 적용되었습니다. 이는 위험하다는 것을 표시하는 데 사용되며 모든 사용은 안전을 위해 검토해야 합니다.

FortifyDangerous 주석이 이 형식에 적용되었습니다. 이는 위험하다는 것을 표시하는 데 사용되며 모든 사용은 안전을 위해 검토해야 합니다.

chroot() 시스템 호출로 프로세스가 file system의 루트 디렉터리 개념을 변경할 수 있습니다. chroot()를 올바로 호출하면 프로세스가 새 루트 디렉터리에서 정의한 디렉터리 트리 외부의 파일에 접근할 수 없습니다. 그런 환경을 chroot jail이라고 하며 일반적으로 프로세스를 훔쳐 파일의 무단 접근에 사용할 가능성을 방지하기 위해 사용합니다. 예를 들어, 많은 FTP 서버를 chroot jail에서 실행하여 서버에서 새 취약점을 발견한 공격자가 시스템에서 암호 파일 또는 기타 민감한 파일을 다운로드하는 것을 방지합니다.

chroot()를 잘못 사용하면 공격자가 chroot jail을 빠져나갈 수 있습니다. chroot() 함수 호출은 프로세스의 현재 작업 디렉터리를 변경하지 않기 때문에 chroot()가 호출된 후에도 상대 경로가 chroot jail 외부의 file system 리소스를 참조할 수 있습니다.

예제 1: (가상의) FTP 서버의 다음 소스 코드를 보겠습니다.

chroot("/var/ftproot");
...
fgets(filename, sizeof(filename), network);
localfile = fopen(filename, "r");
while ((len = fread(buf, 1, sizeof(buf), localfile)) != EOF) {
  fwrite(buf, 1, sizeof(buf), network);
}
fclose(localfile);

이 코드는 네트워크에서 파일 이름을 읽고 로컬 컴퓨터에서 파일을 연 다음 네트워크로 파일 내용을 보냅니다. 이 코드는 FTP GET 명령을 구현하는 데 사용할 수 있습니다. FTP 서버는 /var/ftproot 외부의 파일에 대한 접근을 막기 위해 초기화 루틴에서 chroot()를 호출합니다. 그러나 서버가 chdir("/")를 호출하여 현재 작업 디렉터리를 변경할 수 없기 때문에 공격자가 "../../../../../etc/passwd" 파일을 요청하여 시스템 암호 파일의 복사본을 얻을 수 있습니다.

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"enterprise bean은 디스플레이에 정보를 출력하거나 키보드에서 정보를 입력받을 때 AWT 기능을 사용할 수 없습니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"서버는 응용 프로그램과 서버 시스템에 연결된 키보드/디스플레이가 직접 상호 작용하는 것을 허용하지 않습니다."

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"Enterprise Bean은 클래스 로더 생성, 컨텍스트 클래스 로더 설정, 보안 관리자 설정, 새 보안 관리자 생성, JVM 중단 또는 입력, 출력 및 오류 스트림 변경을 할 수 없습니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"이러한 함수는 Enterprise Bean 컨테이너용으로 예약되어 있습니다. Enterprise Bean이 이러한 함수를 사용하면 보안이 약해지고 컨테이너가 런타임 환경을 올바로 관리하는 기능이 저하됩니다."

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"Enterprise Bean은 Java I/O 패키지를 사용하여 파일 시스템의 파일과 디렉터리에 액세스할 때 주의해야 합니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"파일 시스템 API는 비즈니스 구성 요소가 데이터에 액세스하는 데 적합하지 않습니다. 모든 인스턴스에서 파일에 액세스할 수 없는 경우도 있고, 인스턴스마다 내용이 다를 수도 있으며, 파일에 대한 업데이트를 조정하는 것이 어려울 수도 있습니다. 비즈니스 구성 요소는 JDBC 같은 리소스 관리자 API를 사용하여 데이터를 저장해야 합니다."

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"enterprise bean은 소켓에서 수신 대기하거나 소켓에서 연결을 수락하거나 멀티캐스트에 소켓을 사용할 수 없습니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"Enterprise Bean 아키텍처는 Enterprise Bean 인스턴스가 네트워크 소켓 클라이언트가 되는 것을 허용하지만, 네트워크 서버가 되는 것은 허용하지 않습니다. 인스턴스가 네트워크 서버가 되도록 허용하면 Enterprise Bean의 기본 기능인 Enterprise Beans 클라이언트에 서비스를 제공하는 것과 충돌하게 됩니다."

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"Bean 관리 동시성이 포함된 단일 항목 세션 Bean이 아닌 경우 Enterprise Bean은 여러 인스턴스의 실행을 동기화할 때 스레드 동기화 기본 형식을 사용할 수 없습니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"이 규칙은 일부 Enterprise Bean 컨테이너가 하나의 JVM을 사용하여 모든 Enterprise Bean의 인스턴스를 실행하는 반면 나머지는 여러 JVM에 인스턴스를 분산시키기 때문에 런타임 의미의 일관성을 유지하기 위해 필요합니다."

다음과 같은 경우 파일 공개가 발생합니다.
1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.


2. 데이터를 사용하여 경로를 동적으로 생성합니다.

예제 1: 다음 코드는 신뢰할 수 없는 데이터를 취하고 이를 통해 사용자에게 반환되는 파일을 엽니다.

from django.http import FileResponse
...
def file_disclosure(request):
    path = request.GET['returnURL']
    return FileResponse(open(path, 'rb'))
...

공격자가 민감한 파일 위치와 일치하는 요청 매개 변수를 URL에 제공한 경우, 해당 파일을 볼 수 있습니다. 예를 들어 "http://www.yourcorp.com/webApp/logic?returnURL=settings.py"에서 응용 프로그램의 "settings.py"를 볼 수 있습니다.

다음과 같은 경우 파일 공개가 발생합니다.
1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.


2. 데이터를 사용하여 경로를 동적으로 생성합니다.

예제 1: 다음 코드는 신뢰할 수 없는 데이터를 취하고 이를 사용하여 서버 쪽 전달에 사용되는 경로를 빌드합니다.

...
String returnURL = request.getParameter("returnURL");
	RequestDispatcher rd = request.getRequestDispatcher(returnURL);
	rd.forward();
...

예제 2: 다음 코드는 신뢰할 수 없는 데이터를 취하고 이를 사용하여 서버 쪽 전달에 사용되는 경로를 빌드합니다.

...
	<% String returnURL = request.getParameter("returnURL"); %>
	<jsp:include page="<%=returnURL%>" />
	...

공격자가 민감한 파일 위치와 일치하는 요청 매개 변수를 URL에 제공한 경우, 해당 파일을 볼 수 있습니다. 예를 들어 "http://www.yourcorp.com/webApp/logic?returnURL=WEB-INF/applicationContext.xml"에서 응용 프로그램의 applicationContext.xml을 볼 수 있습니다.
공격자는 applicationContext.xml을 확보한 후 applicationContext.xml 또는 클래스나 jar 파일에서 참조된 다른 구성 파일을 찾아 다운로드할 수 있습니다. 그러면 공격자는 응용 프로그램에 대한 민감한 정보를 얻고 해당 정보를 대상으로 다른 유형의 공격을 할 수 있습니다.

다음과 같은 경우 파일 공개가 발생합니다.
1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.


2. 데이터를 사용하여 경로를 동적으로 생성합니다.

예제 1: 다음 코드는 신뢰할 수 없는 데이터를 취하고 이를 사용하여 서버 쪽 전달에 사용되는 경로를 빌드합니다.

...
	String returnURL = request.getParameter("returnURL");
	return new ModelAndView(returnURL);
	...

공격자가 민감한 파일 위치와 일치하는 요청 매개 변수를 URL에 제공한 경우, 해당 파일을 볼 수 있습니다. 예를 들어 "http://www.yourcorp.com/webApp/logic?returnURL=WEB-INF/applicationContext.xml"에서 응용 프로그램의 applicationContext.xml을 볼 수 있습니다.
공격자는 applicationContext.xml을 확보한 후 applicationContext.xml 또는 클래스나 jar 파일에서 참조된 다른 구성 파일을 찾아 다운로드할 수 있습니다. 그러면 공격자는 응용 프로그램에 대한 민감한 정보를 얻고 해당 정보를 대상으로 다른 유형의 공격을 할 수 있습니다.

Spring Webflow에서 view resolver는 보기 이름을 실제 렌더링 기술로 변환하는 데 사용됩니다. 일반적으로 view resolver는 접두사 및 접미사를 사용하여 파일의 유형 및 위치를 제한합니다. 그러나 요청 매개 변수를 사용하면 보기 이름이 이 메커니즘을 회피하도록 지정됩니다.
예제 1: 다음 Spring Webflow 구성은 요청 매개 변수를 사용하여 보기 이름을 지정합니다.

<webflow:end-state id="finalStep" view="${requestParameters.url}"/>
<webflow:view-state id="showView" view="${requestParameters.test}">

기본 Spring Webflow 보기 확인자의 의도는 "/WEB-INF/views/"에 있는 jsp 파일의 확인만 허용하는 것입니다.

<bean class="org.springframework.web.servlet.view.
               InternalResourceViewResolver">
    <property name="prefix" value="/WEB-INF/views/" />
    <property name="suffix" value=".jsp" />
</bean>

공격자는 다음 URL을 사용하여 applicationContext.xml 파일을 볼 수 있습니다. "http://www.yourcorp.com/webApp/logic?url=../applicationContext.xml;x="
InternalResourceViewResolver는 구성된 접두사를 사용하여 보기 속성으로 전달된 값을 연결하고 최종적으로 접미사를 추가합니다.
그 결과로 나온 상대 URL "/WEB-INF/views/../applicationContext.xml;x=.jsp"가 서버 측 요청 디스패처에 전달됩니다. 세미콜론을 사용하면 공격자가 ".jsp" 접미사를 경로 매개 변수로 변환할 수 있습니다. 이 공격은 웹 응용 프로그램 루트 아래 임의의 파일을 공개하는 데 사용될 수 있습니다.

다음과 같은 경우 파일 공개가 발생합니다.
1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.


2. 데이터를 사용하여 경로를 동적으로 생성합니다.

예제 1: 다음 코드는 신뢰할 수 없는 데이터를 취하고 이를 사용하여 서버 쪽 전달에 사용되는 경로를 빌드합니다.

...
	String returnURL = request.getParameter("returnURL");
	return new ActionForward(returnURL);
	...

공격자가 민감한 파일 위치와 일치하는 요청 매개 변수를 URL에 제공한 경우, 해당 파일을 볼 수 있습니다. 예를 들어 "http://www.yourcorp.com/webApp/logic?returnURL=WEB-INF/applicationContext.xml"에서 응용 프로그램의 applicationContext.xml을 볼 수 있습니다.
공격자는 applicationContext.xml을 확보한 후 applicationContext.xml 또는 클래스나 jar 파일에서 참조된 다른 구성 파일을 찾아 다운로드할 수 있습니다. 그러면 공격자는 응용 프로그램에 대한 민감한 정보를 얻고 해당 정보를 대상으로 다른 유형의 공격을 할 수 있습니다.

Heap inspection 취약점은 암호나 암호화 키 같은 민감한 데이터가 메모리에서 삭제되지 않기 때문에 공격자에게 노출될 때 발생합니다.

realloc() 함수는 일반적으로 할당된 메모리 블록의 크기를 증가시킬 때 사용합니다. 이 작업을 수행할 때 이전 메모리 블록의 내용을 더 큰 새 블록에 복사해야 합니다. 이 작업은 원래 블록의 내용을 그대로 유지하지만 프로그램이 접근할 수 없게 하여 프로그램이 메모리의 민감한 데이터를 초기화하는 것을 방지합니다. 이후에 공격자가 메모리 덤프의 내용을 검사하게 되면 민감한 데이터가 노출될 수 있습니다.

예제 1: 다음 코드는 민감한 데이터가 들어 있는 버퍼에 대해 realloc()를 호출합니다.

plaintext_buffer = get_secret();
...
plaintext_buffer = realloc(plaintext_buffer, 1024);
...
scrub_memory(plaintext_buffer, 1024);

메모리에서 민감한 데이터를 초기화하려고 하지만 realloc()를 사용하기 때문에 처음에 plaintext_buffer에 할당된 메모리에서 데이터의 복사본이 노출될 수 있습니다.

Heap inspection 취약점은 암호나 암호화 키 같은 민감한 데이터가 메모리에서 삭제되지 않기 때문에 공격자에게 노출될 때 발생합니다.

VirtualLock 함수는 메모리의 페이지가 디스크에 페이지되는 것을 방지하기 위한 것입니다. 하지만, Windows 95/98/ME에서 이 함수는 스텁(stub)으로 구현되며 아무런 영향을 끼치지 않습니다.