PL/SQL 함수 및 프로시저는 AUTHID DEFINER 또는 AUTHID CURRENT_USER일 수 있습니다. 정의자의 권한이 있는 함수 및 프로시저는 코드를 정의하는 사용자의 권한 하에 실행됩니다. 그러면 전체 테이블 또는 스키마에 대한 접근을 허가하지 않고 데이터의 특정 부분에 대한 업데이트 및 접근을 허용할 수 있습니다. 호출자의 권한 또는 AUTHID CURRENT_USER가 있는 경우, 함수 및 프로시저는 호출하는 사용자의 권한 하에 실행됩니다. 이는 접근 권한이 없는 데이터에 사용자가 접근하지 못하도록 합니다. AUTHID 절이 제공되지 않은 경우, 함수 또는 프로시저 기본값은 정의자의 권한이 됩니다.

함수 및 프로시저는 대개 SYS 또는 다른 권한이 높은 사용자가 정의하며 코드의 익스플로이트를 잠재적으로 더 위험하게 만듭니다.

PL/SQL 패키지는 AUTHID DEFINER 또는 AUTHID CURRENT_USER일 수 있습니다. 정의자의 권한이 있는 패키지의 함수 및 프로시저는 패키지를 정의하는 사용자의 권한 하에 실행됩니다. 그러면 전체 테이블 또는 스키마에 대한 접근을 허가하지 않고 데이터의 특정 부분에 대한 업데이트 및 접근을 허용할 수 있습니다. 호출자의 권한 또는 AUTHID CURRENT_USER가 있는 패키지의 경우, 함수 및 프로시저는 호출하는 사용자의 권한 하에 실행됩니다. 이는 접근 권한이 없는 데이터에 사용자가 접근하지 못하도록 합니다. AUTHID 절이 제공되지 않은 경우, 패키지 기본값은 정의자의 권한이 됩니다.

패키지는 대개 SYS 또는 다른 권한이 높은 사용자가 정의하며 코드의 익스플로이트를 잠재적으로 더 위험하게 만듭니다.

특정 Android 작업에는 권한이 필요합니다. 권한은 <uses-permission/> 태그를 통해 AndroidManifest.xml 파일에 나열하여 설치 시 응용 프로그램에 의해 요청되어야 합니다. 필요한 권한이 요청되지 않으면 이러한 권한이 필요한 작업이 런타임 시 실패합니다. 경우에 따라 java.lang.SecurityException이 응용 프로그램에 다시 발생됩니다. 다른 경우에는, 작업이 예외 없이 자동으로 실패합니다.

예제 1: 다음 코드는 텍스트 기반 SMS를 보냅니다.

sms.sendTextMessage(recipient, null, message, PendingIntent.getBroadcast(SmsMessaging.this, 0, new Intent(ACTION_SMS_SENT), 0), null);

이 API에는 android.permission.SEND_SMS 권한이 필요합니다. 이 권한이 매니페스트 파일에서 응용 프로그램에 의해 요청되지 않는 경우, 응용 프로그램은 SMS를 보내지 못합니다.

특정 Android 작업에는 권한이 필요합니다. 권한은 <uses-permission/> 태그를 통해 AndroidManifest.xml 파일에 나열하여 설치 시 응용 프로그램에 의해 요청되어야 합니다. 필요한 권한이 요청되지 않으면 이러한 권한이 필요한 작업이 런타임 시 실패합니다. 경우에 따라 java.lang.SecurityException이 응용 프로그램에 다시 발생됩니다. 다른 경우에는, 작업이 예외 없이 자동으로 실패합니다.

예제 1: 다음 코드는 장치에 저장된 연락처 정보를 읽습니다.

Cursor cursor = getContentResolver().query(ContactsContract.Contacts.CONTENT_URI, null, null, null, null);

이 콘텐트 공급자에게서 데이터를 읽으려면 android.permission.READ_CONTACTS 권한이 필요합니다. 이 권한이 매니페스트 파일에서 응용 프로그램에 의해 요청되지 않는 경우, 응용 프로그램은 연락처 정보를 읽지 못합니다.

특정 Android 작업에는 권한이 필요합니다. 권한은 <uses-permission/> 태그를 통해 AndroidManifest.xml 파일에 나열하여 설치 시 응용 프로그램에 의해 요청되어야 합니다. 필요한 권한이 요청되지 않으면 이러한 권한이 필요한 작업이 런타임 시 실패합니다. 경우에 따라 java.lang.SecurityException이 응용 프로그램에 다시 발생됩니다. 다른 경우에는, 작업이 예외 없이 자동으로 실패합니다.

예제 1: 다음 코드는 android.provider.Telephony.SMS_RECEIVED 작업으로 인텐트를 전송합니다.

    Intent i = new Intent("android.provider.Telephony.SMS_RECEIVED");
    context.sendBroadcast(i);

이 인텐트를 전송하려면 android.permission.BROADCAST_SMS 권한이 필요합니다. 이 권한이 매니페스트 파일에서 응용 프로그램에 의해 요청되지 않는 경우, 응용 프로그램은 인텐트를 전송하지 못합니다.

안전한 코딩 원칙은 접근 지정자를 가능한 한 제한적으로 만드는 것입니다. public 접근 지정자를 가진 메서드는 임의의 외부 코드가 호출하도록 허용됨을 의미합니다. 권리 있는 작업을 수행하는 Public 메서드는 라이브러리나 코드가 동적으로 시스템에 들어갈 수 있는 환경에서 코드가 공유될 때 위험해질 수 있습니다(예: Code Injection, Dangerous File Inclusion, File Upload 등).

예제 1: 다음 코드에서 doPrivilegedOpenFile()은 public으로 선언되며 권한 있는 작업을 수행합니다.

public static void doPrivilegedOpenFile(final String filePath) {
final BadFileNamePrivilegedAction pa = new BadFileNamePrivilegedAction(filePath);

FileInputStream fis = null;
...
fis = (FileInputStream)AccessController.doPrivileged(pa);
...
}

ALL PRIVILEGES 또는 ALL 옵션을 사용하면 사용자에게 개체에 대해 적용될 수 있는 모든 권한이 부여됩니다. 프로그래머가 부여된 권한을 모두 알지 못할 수도 있습니다.

예제: 관리자가 사용자에게 절차 중 데이터를 업데이트하는 기능을 제공하고자 할 수도 있습니다.

GRANT ALL ON employees TO john_doe;

행을 선택, 업데이트, 추가 및 제거하는 기능 외에도 john_doe에는 테이블의 정의를 변경할 수 있는 권한이 있습니다.

일부 함수는 프로그래머가 권한 허용 여부에 대한 명시적 값을 지정할 수 있도록 허용합니다. 그러면 이것이 남용되어 사용자가 원하는 것을 위반하면서도 권한이 부여된 것으로 가장할 수 있습니다.

예제 1: 다음 코드는 WebView 사용 중 Android에서 사용자의 위치를 사용하기 위한 권한을 요청하기는 하지만, 해당 권한이 부여되는지 여부에 관계 없이 사용자의 위치를 사용합니다. 권한이 부여되었음을 지정하는 true를 사용하여 수동으로 콜백을 호출하여 이렇게 합니다.

public void onGeolocationPermissionsShowPrompt(String origin, GeolocationPermissions$Callback callback){
  super.onGeolocationPermissionsShowPrompt(origin, callback);
  callback.invoke(origin, true, false);
}

응용 프로그램에는 적절한 실행에 필요한 최소 권한만 있어야 합니다. 추가 권한은 사용자의 응용 프로그램 설치를 억제할 수 있습니다. 이 프로그램에는 이 권한이 불필요할 수 있습니다.

Spring Boot 응용 프로그램은 사용자가 응용 프로그램의 다양한 측면을 모니터링하는 데 사용될 수 있는 REST 끝점인 Actuator를 배포하도록 구성될 수 있습니다. 민감한 데이터를 노출할 수 있고 "민감한" 것으로 레이블이 지정된 다양한 기본 제공 엑추에이터가 있습니다. 기본적으로 모든 민감한 HTTP 끝점은 ACTUATOR 역할을 가진 사용자만 액세스할 수 있도록 보호됩니다.

이 응용 프로그램은 민감한 끝점에 대한 인증 요구 사항을 비활성화합니다.

예제 1:

management.security.enabled=false

또는 민감한 끝점을 민감하지 않은 것으로 표시합니다.

예제 2:

endpoints.health.sensitive=false

또는 사용자 지정Actuator가 민감하지 않은 것으로 설정됩니다.

@Component
public class CustomEndpoint implements Endpoint<List<String>> {

    public String getId() {
        return "customEndpoint";
    }

    public boolean isEnabled() {
        return true;
    }

    public boolean isSensitive() {
        return false;
    }

    public List<String> invoke() {
        // Custom logic to build the output
        ...
    }
}

Spring Boot에서 개발자는 spring.application.admin.enabled 속성을 지정하여 응용 프로그램의 관리 관련 기능을 활성화할 수 있습니다. 이렇게 하면 MBeanServer 플랫폼에서 SpringApplicationAdminMXBean이 노출됩니다. 개발자는 이 기능을 사용하여 원격으로 Spring Boot 응용 프로그램을 관리할 수 있지만 이 기능은 원격 JMX 끝점의 형태로 추가 공격 표면을 노출합니다. MBeanServer의 구성에 따라 MBean은 로컬 또는 원격으로 노출될 수 있으며 인증을 요구하거나 요구하지 않을 수 있습니다. 최악의 경우 공격자는 인증 없이 응용 프로그램을 종료하는 것을 포함하여 원격으로 응용 프로그램을 관리할 수 있습니다. 최상의 경우 서비스는 서버를 보호하는 데 사용되는 자격 증명만큼 강력해집니다.

참고: CVE-2016-3427(2016년 4월 Java 8 업데이트 91에서 해결됨)에 취약한 JRE 버전을 사용하는 경우 공격자는 직렬화된 Java 개체를 자격 증명으로 전달하여 원격 JVM이 이를 역직렬화할 때 임의의 코드를 실행할 수 있습니다.

이 Spring Boot 응용 프로그램에는 DevTools가 활성화되어 있습니다. DevTools에는 응용 프로그램 개발 경험을 좀 더 즐겁게 만들 수 있는 추가 도구 세트가 포함되어 있지만 운영 환경의 응용 프로그램에는 DevTools를 사용하지 않는 것이 좋습니다. 공식 Spring Boot 설명서에 다음과 같이 명시되어 있습니다. "원격 응용 프로그램에서 spring-boot-devtools를 활성화하는 것은 보안 위험입니다. 운영 배포에서는 지원을 활성화하면 안 됩니다."

Shutdown Actuator를 사용하면 인증된 사용자가 응용 프로그램을 종료할 수 있습니다. 이 끝점은 기본적으로 민감한 끝점으로 구성되어 있으므로 사용하려면 인증이 필요하지만 자격 증명이 약한 경우가 있거나 액추에이터에 민감하지 않은 것으로 플래그를 지정하도록 응용 프로그램 구성이 수정될 수 있으므로 강력한 이유 없이 활성화하는 것은 좋은 방법이 아닙니다.

예제 1: Spring Boot 응용 프로그램이 Shutdown Actuator를 배포하도록 구성되어 있습니다.

endpoints.shutdown.enabled=true

Spring Security는 지나치게 허용적인 캐치올(catch-all) 정책으로 구성되어 보안 표현과 일치하지 않는 요청에 액세스할 수 있습니다.

예제 1: 다음 코드는 기본적으로 일치하지 않는 요청을 허용하는 Spring Security 구성을 정의합니다.

	<http auto-config="true">
        ...
        <intercept-url pattern="/app/admin" access="ROLE_ADMIN" />
        <intercept-url pattern="/**" access="permitAll" />
	</http>

이 구성이 현재 보안 구성인 경우에도 나중에 새로운 비공개 끝점이 응용 프로그램에 추가될 수 있습니다. 개발자가 보안 정책 업데이트를 잊어버린 경우 기본 캐치올(catch-all) 규칙은 새 비공개 끝점에 대한 공개 액세스를 허용합니다.

Spring Security는 응용 프로그램을 보호할 수 있도록 기본 보안 헤더를 설정합니다. Spring Security에서 삽입한 기본 보안 헤더는 다음과 같습니다.

Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

이러한 헤더는 응용 프로그램을 보호하는 데 적합한 헤더입니다. 더 제한적인 값으로 바뀌지 않는 한 이러한 헤더를 비활성화하지 마십시오.

예제: 다음 코드는 Spring Security 기본 헤더를 비활성화합니다.

	<http auto-config="true">
        ...
        <headers disabled="true"/>
        ...
	</http>

Spring Security는 Ant 경로 식으로 끝점 보호 방법을 지정했습니다.

예제 1: 다음 예에서 "/admin" Ant 경로 식과 일치하는 모든 끝점에 액세스하려면 관리자 권한이 있어야 합니다.

	<http auto-config="true">
        ...
        <intercept-url pattern="/app/admin" access="ROLE_ADMIN" />
        ...
        <intercept-url pattern="/**" access="permitAll" />
	</http>

그러나 보호된 끝점이 Spring MVC 끝점인 경우 공격자가 Spring MVC 콘텐트 협상 기능을 남용하여 이 제어를 무시할 수 있습니다. Spring MVC의 경우 사용자는 Accept 헤더를 사용하거나, 확장자를 통해 원하는 콘텐트 유형을 지정하여 리소스를 원하는 방식으로 지정할 수 있습니다. 예를 들어 /admin.json으로 요청을 보내 /admin 리소스를 JSON 문서로 요청할 수 있습니다.
Ant 경로 식은 콘텐트 협상 확장을 설명하지 않으므로 요청이 /admin 식과 일치하지 않고 끝점이 보호되지 않습니다.

Spring Security는 개발자가 모든 요청에 적용해야 하는 일련의 검사를 정의할 수 있는 식 기반 access control을 사용합니다. access control을 요청에 적용해야 하는지 결정하기 위해 Spring Security는 모든 보안 점검에 대해 정의된 요청 선택기와 요청을 일치시킵니다. 요청이 일치하면 access control이 요청에 적용됩니다. 모든 요청과 항상 일치하는 특수 요청 선택기가 존재합니다. anyRequest(). anyRequest() 선택기를 사용하는 폴백 검사를 정의하지 못하면 끝점이 보호되지 않을 수 있습니다.

예제 1: 다음 코드는 폴백 검사를 정의하지 못하는 Spring Security 구성을 정의합니다.

	<http auto-config="true">
        <intercept-url pattern="/app/admin" access="ROLE_ADMIN" />
        <intercept-url pattern="/" access="permitAll" />
	</http>

위 Example 1에서 현재 또는 미래의 끝점(예: /admin/panel)이 보호되지 않을 수 있습니다.

Spring Security에는 잠재적으로 악의적인 문자가 포함된 요청을 정화하여 응용 프로그램을 보호하는 데 도움이 되는 HTTP 방화벽이 포함되어 있습니다. Spring은 HttpFirewall을 FilterChainProxy에 포함하여 해당 요청을 정화할 수 있으며, 필터 체인을 통해 요청을 보내기 전에 처리합니다. Spring Security는 기본적으로 StrictHttpFirewall 구현을 사용합니다.


예제: 다음 코드는 방화벽 정책을 완화하여 %2F 및 ; 문자를 허용합니다.

    <beans:bean id="httpFirewall" class="org.springframework.security.web.firewall.StrictHttpFirewall" p:allowSemicolon="true" p:allowUrlEncodedSlash="true"/>

잠재적으로 악의적인 문자를 허용하면 이러한 문자가 일관되게 처리되지 않을 경우 취약점이 발생할 수 있습니다. 예를 들어, 세미콜론을 허용하면 nginx와 같은 프런트 엔드 웹 서버와 Apache Tomcat과 같은 응용 프로그램 서버에서 일관되게 처리되지 않는 경로 매개 변수(RFC 2396에 정의)를 사용할 수 있습니다. 이러한 불일치는 Path Traversal 공격이나 access control이 무시될 수 있습니다.

기업의 네트워크 인프라 외부에 프로그램을 배포하면 데이터 전송 보안을 내부에서 보증할 수 없게 됩니다. 공유 네트워크에 있는 공격자는 암호화되지 않은 트래픽을 스누핑할 수 있습니다.

공격자는 인증되지 않은 MongoDB 서버를 대상으로 서버에 저장되어 있는 데이터를 침해할 수 있으며 MongoDB 버전에 따라 서버를 침해하여 내부 네트워크에서 거점을 확보할 수 있습니다.

MongoDB 서버에 다양한 공격이 사용되어 기본 운영 체제에서 임의 코드가 실행될 수 있습니다. 예를 들어 과거에는 공격자가 Server-Side JavaScript Injection을 원격 코드 실행으로 변환할 수 있도록 하는 다양한 취약점이 있었습니다. 개체를 저장하는 데 사용되는 경우 공격자는 역직렬화되는 끝점에서 원격 코드를 실행하기 위해 Java, Python, Ruby, PHP 등과 같은 다양한 언어에 대한 역직렬화 페이로드를 저장할 수도 있습니다.

MongoDB 서버가 외부로 노출되지 않은 경우에도 외부 공격자가 동일한 네트워크의 응용 프로그램에서 Server-Side Request Forgery 취약적을 통해 여전히 해당 서버 또는 REST API에 접근할 수 있습니다. 예를 들어 HTTP 또는 Gopher 프로토콜을 사용하여 MongoDB 서버를 공격할 수 있습니다.

외부에서 MongoDB 포트를 보호하지 못하면 대규모 보안 영향이 발생할 수 있습니다. 예를 들어 외부 공격자는 단일 remove 명령을 사용하여 전체 데이터 집합을 삭제할 수 있습니다. 최근 인터넷에서 공개 실행 중인 보안되지 않은 MongoDB 인스턴스에 대한 악성 공격에 대한 보고가 있었습니다. 공격자는 데이터베이스를 지운 후 피해자에게 데이터베이스 복원을 위한 보상금을 지불할 것을 요구했습니다.