단일 서블릿에 여러 URL 패턴이 매핑되는 것은 서블릿이 너무 많은 기능을 수행한다는 신호일 수 있습니다.

예제 1: 다음 예제는 5개의 URL 패턴을 단일 서블릿에 매핑합니다.

<servlet>
    <servlet-class>com.class.MyServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/myservlet</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/helloworld*</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/servlet*</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/mservlet*</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>MyServlet</servlet-name>
    <url-pattern>/*</url-pattern>
</servlet-mapping>

세션을 더 오래 열어둘수록, 공격자가 사용자 계정을 손상시킬 수 있는 기회는 더 커집니다. 세션이 활성화 상태라면 공격자는 사용자의 암호를 무차별 대입하거나 사용자의 무선 암호화 키를 불법으로 복제하거나 열려 있는 브라우저에서 세션을 제멋대로 쓸 수도 있습니다. 또한 세션 초과 시간이 더 길어지면 메모리가 해제되지 못하도록 하여 결국 충분히 많은 세션이 만들어지는 경우 Denial of Service가 발생됩니다.

예제 1: 세션 시간 초과가 0 또는 0 미만일 경우, 세션은 만료되지 않습니다. 다음 예는 -1로 설정된 세션 시간 초과를 보여주며 이로 인해 세션은 무기한으로 활성화 상태가 됩니다.

<session-config>
    <session-timeout>-1</session-timeout>
</session-config>

<session-timeout> 태그는 웹 응용 프로그램의 모든 세션에 대해 기본 세션 시간 초과 간격을 정의합니다. <session-timeout> 태그가 누락된 경우, 기본 시간 초과를 설정하도록 컨테이너에 맡겨집니다.

공격자가 웹 사이트에서 취약점을 찾기 위해 탐색할 때 사이트가 제공하는 정보의 양이 공격 시도의 성패를 결정짓는 핵심 요소입니다. 응용 프로그램이 공격자에게 스택 추적을 보여주면 공격자의 공격을 아주 쉽게 만드는 정보를 제공하는 셈이 됩니다. 예를 들어, 스택 추적은 공격자에게 잘못된 SQL 쿼리 문자열, 사용 중인 데이터베이스 유형 및 응용 프로그램 컨테이너 버전을 보여줄 수 있습니다. 공격자는 이 정보를 사용하여 이 구성 요소의 알려진 취약점을 공략합니다.

응용 프로그램 구성은 응용 프로그램이 오류 메시지를 공격자에게 누출하지 않는다는 것을 보장하기 위해 기본 오류 페이지를 지정해야 합니다. 표준 HTTP 오류 코드를 처리하는 것은 바람직한 보안 관행일 뿐만 아니라 유용하고 사용자 친화적입니다. 또한 응용 프로그램에서 발생할 수 있는 예외를 포착하는 마지막 오류 처리기도 정의해야 좋은 구성이라고 할 수 있습니다.

WebLogic 배포 설명자는 최소 24바이트 길이의 세션 ID를 지정해야 합니다. 이보다 짧은 세션 ID를 사용하면 응용 프로그램이 무차별 대입 공격에 취약해집니다. 공격자가 인증된 사용자의 세션 ID를 알아내면 사용자의 세션을 가로챌 수 있습니다. 이 글의 나머지 부분에서는 24바이트 세션 ID가 필요한 이유를 자세히 설명합니다.

세션 ID는 62개 영숫자의 의사 난수 선택으로 구성되어 있습니다. 이는 문자열이 실질적으로 무작위 방식으로 구성되었을 경우, 각 바이트는 최대 6비트의 엔트로피를 만들 수 있음을 의미합니다.

올바른 세션 ID를 추측하는 데 필요한 예상 시간(초)은 다음 식으로 구할 수 있습니다.

(2^B+1) / (2*A*S)

관련 설명:

- B는 세션 ID의 엔트로피의 비트 수입니다.

- A는 공격자가 1초에 시도할 수 있는 추측의 횟수입니다.

- S는 임의의 시간에 추측할 수 있는 유효한 세션 ID의 개수입니다.

세션 ID의 엔트로피의 비트 수는 항상 세션 ID의 총 비트 수보다 작습니다. 예를 들어, 세션 ID가 오름차순이라면 ID의 길이에 관계없이 세션 ID 엔트로피 비트 수가 0에 가까울 것입니다. 우수한 난수 발생기를 사용하여 세션 ID를 생성한다고 가정하면 세션 ID의 엔트로피의 비트 수는 세션 ID의 총 비트 수의 절반이 됩니다. 실제 ID 길이의 경우, 이것이 가능하지만 낙관적인 감이 있습니다.

공격자가 수백 또는 수천 대의 무인 컴퓨터를 가지고 봇네트(botnet)를 사용한다면 초당 수만 개의 추측을 시도한다고 가정하는 것이 타당합니다. 해당 웹 사이트가 대형 인기있는 웹 사이트라면 한동안 대량 무차별 대입을 발견하지 못할 수 있습니다.

추측할 수 있는 유효한 세션 ID 수의 하한(lower bound)은 임의의 순간에 사이트를 사용하고 있는 사용자 수입니다. 하지만 로그아웃하지 않고 세션을 떠난 사용자 때문에 이 수가 늘어납니다. (이는 비활성 세션 제한 시간을 짧게 하는 이유 중 하나입니다.)

64비트 세션 ID의 경우 32비트 엔트로피를 가정합니다. 대형 웹 사이트의 경우, 공격자가 초당 1,000번의 추측을 시도할 수 있고 임의의 순간에 10,000개의 유효한 세션 ID가 있다고 가정합니다. 이렇게 가정하면, 공격자가 유효한 세션 ID를 알아내는 데 성공하기 위한 예상 시간은 4분 미만입니다.

이번에는 128비트 세션 ID에서 64비트 엔트로피를 제공한다고 가정합니다. 초대형 웹 사이트에서 공격자는 초당 10,000번의 추측을 시도할 수 있고 추측할 수 있는 유효한 세션 ID는 100,000개입니다. 이렇게 가정하면, 공격자가 유효한 세션 ID를 알아내는 데 성공하는 예상 시간은 292년이 넘습니다.

비트에서 바이트로 역방향 작업을 하는 세션 ID는 128/6이어야 합니다. 이는 약 21바이트를 생성합니다. 그뿐만 아니라, 경험 상, 테스트를 해 보면 세션 ID의 첫 3바이트가 무작위로 생성되지 않음을 보여줍니다. 이는 원하는 64비트 엔트로피를 얻으려면 세션 ID 24바이트 길이를 사용하도록 WebLogic을 구성해야 함을 의미합니다.

web.xml에서 누락되거나 중복된 서블릿 이름은 오류입니다. 모든 서블릿에는 고유한 이름(servlet-name)과 해당하는 매핑(servlet-mapping)이 있어야 합니다.

예제 1:web.xml의 다음 항목은 몇 가지 잘못된 서블릿 정의를 보여줍니다.

<!-- No <servlet-name> specified: -->
    <servlet>
        <servlet-class>com.class.MyServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

<!-- Empty <servlet-name> node: -->
    <servlet>
        <servlet-name/>
        <servlet-class>com.class.MyServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

<!-- Duplicate <servlet-name> nodes: -->
    <servlet>
        <servlet-name>MyServlet</servlet-name>
        <servlet-name>Servlet</servlet-name>
        <servlet-class>com.class.MyServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>

이러한 오류는 의도하지 않은 서블릿 액세스 거부를 유발할 수 있습니다.

<login-config> 요소는 사용자가 응용 프로그램에 인증하는 방법을 구성하는 데 사용됩니다. 인증 방법이 없으면 누구도 로그인할 수 없으므로 응용 프로그램에서 권한 부여 제약 조건을 적용하는 방법을 알지 못합니다. 인증 방법은 <login-config>의 하위 항목인 <auth-method> 태그를 사용하여 지정됩니다.

인증 방법에는 4가지가 있습니다. 즉, BASIC, FORM, DIGEST 및 CLIENT_CERT입니다.

BASIC은 HTTP 기본 인증을 나타냅니다.
FORM은 양식 기반 인증을 나타냅니다.
DIGEST는 기본 인증과 같습니다. 그러나 DIGEST에서는 암호가 암호화됩니다.
CLIENT_CERT는 클라이언트에 공개 키 인증서가 있어야 하고 SSL/TLS를 사용할 것을 요구합니다.

예제 1: 다음 구성은 로그인 구성을 지정하지 않습니다.

<web-app>

    <!-- servlet declarations -->
    <servlet>...</servlet>

    <!-- servlet mappings-->
    <servlet-mapping>...</servlet-mapping>

    <!-- security-constraints-->
    <security-constraint>...</security-constraint>

    <!-- login-config goes here -->

    <!-- security-roles -->
    <security-role>...</security-role>

</web-app>

web.xml 보안 제약 조건은 일반적으로 RBAC(Role-Based Access Control)에 사용되지만 선택적 user-data-constraint 요소로 콘텐트의 안전하지 않은 전송을 차단하는 전송 보증을 지정할 수 있습니다.

<user-data-constraint> 태그 안에서 <transport-guarantee> 태그는 통신의 처리 방법을 정의합니다. 전송 보증에는 3가지 수준이 있습니다.

1) NONE은 응용 프로그램에서 전송 보증을 요구하지 않음을 의미합니다.
2) INTEGRAL은 응용 프로그램에서 클라이언트와 서버 간에 전송되는 데이터를 전송 중에 변경할 수 없는 방식으로 전송할 것을 요구함을 의미합니다.
3) CONFIDENTIAL은 응용 프로그램에서 다른 엔티티가 전송 내용을 관찰할 수 없는 방식으로 데이터를 전송할 것을 요구함을 의미합니다.



대부분의 상황에서 INTEGRAL 또는 CONFIDENTIAL의 사용은 SSL/TLS가 필요함을 의미합니다. <user-data-constraint> 및 <transport-guarantee> 태그가 생략된 경우 전송 보증은 기본적으로 NONE으로 설정됩니다.

예제 1: 다음 보안 제약 조건은 전송 보증을 지정하지 않습니다.

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Storefront</web-resource-name>
        <description>Allow Customers and Employees access to online store front</description>
        <url-pattern>/store/shop/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description>Anyone</description>
        <role-name>anyone</role-name>
    </auth-constraint>
</security-constraint>

공격자가 웹 사이트에서 취약점을 찾기 위해 탐색할 때 사이트가 제공하는 정보의 양이 공격 시도의 성패를 결정짓는 핵심 요소입니다. 응용 프로그램이 공격자에게 스택 추적을 보여주면 공격자의 공격을 아주 쉽게 만드는 정보를 제공하는 셈이 됩니다. 예를 들어, 스택 추적은 공격자에게 잘못된 SQL 쿼리 문자열, 사용 중인 데이터베이스 유형 및 응용 프로그램 컨테이너 버전을 보여줄 수 있습니다. 공격자는 이 정보를 사용하여 이 구성 요소의 알려진 취약점을 공략합니다.

응용 프로그램 구성은 응용 프로그램이 오류 메시지를 공격자에게 누출하지 않는다는 것을 보장하기 위해 기본 오류 페이지를 지정해야 합니다. 표준 HTTP 오류 코드를 처리하는 것은 바람직한 보안 관행일 뿐만 아니라 유용하고 사용자 친화적입니다. 또한 응용 프로그램에서 발생할 수 있는 예외를 포착하는 마지막 오류 처리기도 정의해야 좋은 구성이라고 할 수 있습니다.

모든 필터 매핑은 유효한 필터 정의와 일치해야 적용됩니다.

예제 1: 다음 예제는 존재하지 않는 필터인 AuthenticationFilter를 참조하는 필터 매핑을 보여줍니다. 정의가 누락되었기 때문에 AuthenticationFilter 필터는 지정된 URL 패턴 /secure/*에 적용되지 않으며 런타임 예외를 야기할 수 있습니다.

<filter>
    <description>Compresses images to 64x64</description>
    <filter-name>ImageFilter</filter-name>
    <filter-class>com.ImageFilter</filter-class>
</filter>

<!-- AuthenticationFilter is not defined -->
<filter-mapping>
    <filter-name>AuthenticationFilter</filter-name>
    <url-pattern>/secure/*</url-pattern>
</filter-mapping>

<filter-mapping>
    <filter-name>ImageFilter</filter-name>
    <servlet-name>ImageServlet</servlet-name>
</filter-mapping>

auth-constraint에 정의된 role-name에 대한 security-role이 없으면 구성이 오래된 것일 수 있습니다.

예제 1: 다음 예제는 role-name을 지정하지만 security-role에서 역할 이름을 정의하지 않습니다.

<security-constraint>
    <web-resource-collection>
         <web-resource-name>AdminPage</web-resource-name>
         <description>Admin only pages</description>
         <url-pattern>/auth/noaccess/*</url-pattern>
    </web-resource-collection>

    <auth-constraint>
        <description>Administrators only</description>
        <role-name>admin</role-name>
    </auth-constraint>

    <user-data-constraint>
        <transport-guarantee>INTEGRAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

유효한 서블릿 매핑이 없으면 매핑되지 않은 서블릿에 대한 모든 액세스가 차단됩니다.

예제 1:web.xml의 다음 항목은 ExampleServlet을 정의하지만 해당하는 서블릿 매핑을 정의하지 않습니다.

<web-app
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">

    <servlet>
      <servlet-name>ExampleServlet</servlet-name>
      <servlet-class>com.class.ExampleServlet</servlet-class>
      <load-on-startup>1</load-on-startup>
    </servlet>

</web-app>

원격 인터페이스를 노출하는 엔터티 빈은 응용 프로그램의 공격 접점의 일부가 됩니다. 성능상의 이유로 응용 프로그램이 원격 엔터티 빈을 사용하는 경우가 아주 드물기 때문에 원격 엔터티 빈 선언이 오류가 될 가능성이 큽니다.

예제 1: 다음 엔터티 빈 선언에는 원격 인터페이스가 포함됩니다.

<ejb-jar>
<enterprise-beans>
<entity>
<ejb-name>EmployeeRecord</ejb-name>
<home>com.wombat.empl.EmployeeRecordHome</home>
<remote>com.wombat.empl.EmployeeRecord</remote>
...
</entity>
...
</enterprise-beans>
</ejb-jar>

특수한 ANYONE 역할에 액세스 권한을 부여하는 하나 이상의 메서드 권한이 EJB 배포 설명자에 포함된 경우 이는 응용 프로그램에 대한 액세스 제어가 완전히 고려되지 않았거나 응용 프로그램이 합리적인 액세스 제어 제한이 불가능한 방식으로 구성되었음을 나타냅니다.

예제 1: 다음 배포 설명자는 Employee EJB의 메서드 getSalary()를 호출할 수 있는 권한을 ANYONE에 부여합니다.

<ejb-jar>
	...
	<assembly-descriptor>
		<method-permission>
			<role-name>ANYONE</role-name>
			<method>
				<ejb-name>Employee</ejb-name>
				<method-name>getSalary</method-name>
		</method-permission>
	</assembly-descriptor>
	...
</ejb-jar>

구성된 다른 인증 방법에 의해 요청이 거부되지 않는 경우 Kubernetes API 서버는 기본적으로 익명 요청을 수락합니다. API 서버는 클러스터의 중앙 관리 엔터티이기 때문에 공격자는 익명 요청을 사용하여 충분히 보호되지 않고 보안에 민감한 서비스 API에 액세스할 수 있습니다.

예제 1: 다음 구성은 Kubernetes API 서버를 시작하고 --anonymous-auth=true 플래그를 설정하여 익명 요청을 허용합니다.

...
spec:
  containers:
    - command:
      - kube-apiserver
...
      - --anonymous-auth=true
...

Kubernetes API 서버는 기본적으로 표준 출력에 감사 이벤트를 기록합니다. 감사 이벤트는 영구 스토리지에 기록되어야 합니다. 감사 이벤트에는 보안 사고를 식별하고 정책 위반을 모니터링하며 거부 없음 제어를 지원하는 데 사용되는 중요한 데이터가 포함됩니다.

예제 1: 다음 구성은 --audit-log-path 플래그 없이 Kubernetes API 서버를 시작합니다.

...
spec:
  containers:
  - command:
    - kube-apiserver
    - --authorization-mode=RBAC
  image: example.domain/kube-apiserver-amd64:v1.6.0
...

클러스터의 중앙 관리 엔터티인 Kubernetes API 서버가 HTTP 기본 인증을 수락하여 사용자를 인증합니다. HTTP 기본 인증은 더 이상 사용되지 않으며 무차별 대입 공격에 취약하고 잘못 구성된 환경에서 공격자에게 사용자 자격 증명을 유출합니다.

예제 1: 다음 구성은 Kubernetes API 서버를 시작하고--basic-auth-file=<filename>> 플래그를 설정하여 HTTP 기본 인증을 사용합니다.

...
kind: Pod
...
spec:
  containers:
    - command:
      - kube-apiserver
      - --basic-auth-file=<filename>
    image: example.domain/kube-apiserver-amd64:v1.6.0
    livenessProbe:
...

느슨한 액세스 구성은 시스템을 노출시키고 조직의 공격 표면을 확장합니다. 공개 상호 작용이 가능한 서비스는 일반적으로 악의적인 엔터티의 거의 지속적인 검색 및 조사에 노출됩니다.

이는 노출된 서비스에 대한 제로데이 익스플로이트가 검색되어 게시되는 경우(예: Heartbleed) 특히 문제가 됩니다. 공격자는 패치되지 않고 노출된 시스템을 적극적으로 추적하고 검색하여 악용할 수 있습니다.

중요한 리소스 액세스를 제어하지 않으면 중요한 데이터가 공개되거나 변조되는 등 조직이 다양한 방식으로 심각한 영향을 받을 수 있습니다.

중요한 리소스 액세스를 제어하지 않으면 중요한 데이터가 공개되거나 변조되는 등 조직이 다양한 방식으로 심각한 영향을 받을 수 있습니다.

중요한 리소스 액세스를 제어하지 않으면 중요한 데이터가 공개되거나 변조되는 등 조직이 다양한 방식으로 심각한 영향을 받을 수 있습니다.