Salesforce 응용 프로그램은 공유 규칙을 사용하여 사용자 권한 및 데이터베이스 레코드에 대한 액세스를 제어합니다. 그러나 Apex에서 사용자 공유 규칙이 항상 적용되는 것은 아닙니다. 규칙이 적용되는 방식을 변경하는 다른 공유 키워드를 사용하여 Apex 클래스를 선언할 수 있기 때문입니다. 다음의 세 가지 공유 키워드 중 하나로 클래스를 선언할 수 있습니다.

- with sharing: 사용자 공유 규칙이 적용됩니다.
- without sharing: 공유 규칙이 적용되지 않습니다.
- inherited sharing: 호출 클래스의 공유 규칙이 적용됩니다. 호출 클래스가 공유 키워드를 지정하지 않거나 클래스 자체가 Visualforce 컨트롤러와 같은 진입점인 경우에는 사용자 공유 규칙이 기본적으로 적용됩니다.

공유 키워드가 선언되어 있지 않으면 클래스는 호출 클래스의 공유 모드(있는 경우)를 상속합니다. 그 외의 경우에는 공유 규칙이 적용되지 않습니다.

예제 1: 다음 3개 Apex 클래스에는 모두 데이터베이스 쿼리 호출용으로 안전하지 않은 공유 키워드가 포함되어 있습니다.

    public class MyClass1 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public without sharing class MyClass2 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

    public inherited sharing class MyClass3 {
        public List<Contact> getAllTheSecrets() {
            return Database.query('SELECT Name FROM Contact');
        }
    }

MyClass1 및 MyClass2가 안전하지 않은 이유는 사용자 공유 규칙을 적용하지 않고도 레코드를 검색할 수 있기 때문입니다.

MyClass3의 경우에는 기본적으로 공유 규칙을 적용하므로 더 안전합니다. 그러나 without sharing을 명시적으로 선언하는 클래스에서 getAllTheSecrets() 함수를 호출하는 경우에는 여전히 무단 액세스 권한을 부여할 수 있습니다.

단일 <security constraint> 요소는 프로그램에 RBAC(Role-Based Access Control)가 사용되고 있지 않음을 암시합니다. RBAC는 보안 웹 응용 프로그램에서 민감한 작업의 보호를 위해 널리 용인되는 모범 사례입니다. 민감한 작업 또는 데이터에 대한 액세스를 제공하는 응용 프로그램의 경우 권한이 없는 사용자의 액세스를 차단하는 충분한 제어가 없을 수 있습니다. 또한 <url-pattern>에 와일드카드(*)가 있는 경우 패턴이 지나치게 광범위하다는 표시일 수 있습니다.

프로그래머는 AccessibleObject API를 사용하여 Java 액세스 지정자가 제공하는 access control 검사를 회피할 수 있습니다. 특히 프로그래머는 reflected 개체가 Java 액세스 제어를 무시하도록 허용하고 개인 필드의 값을 변경하거나 private 메서드를 호출할 수 있지만, 이러한 동작은 일반적으로 허용되지 않습니다.

많은 응용 프로그램은 쿠키를 사용하여 사용자 세션 ID를 통신합니다. HTTPS를 통해 응용 프로그램에 액세스하면 쿠키가 보호됩니다(공격자가 쿠키를 스니핑할 수 없음). 그러나 개발자가 응용 프로그램의 민감하지 않은 부분에 대한 HTTP 접근을 허용할 경우, 세션 ID를 도난당할 수 있습니다. 사용자가 사이트의 보호되지 않은 부분을 탐색하면 세션 ID가 포함된 쿠키가 자유롭게 전송됩니다. 공격자가 트래픽을 스니핑하면 세션 ID를 보고 이를 사용하여 사용자 세션을 제어할 수 있습니다.


다음 예제는 비보안 채널과 보안 채널을 혼합한 구성을 보여줍니다.

  <property name="filterInvocationDefinitionSource">
    <value>
      CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
      \A/secure/.*\Z=REQUIRES_SECURE_CHANNEL
      \A/acegilogin.jsp.*\Z=REQUIRES_SECURE_CHANNEL
      \A/j_acegi_security_check.*\Z=REQUIRES_SECURE_CHANNEL
      \A.*\Z=REQUIRES_INSECURE_CHANNEL
    </value>
  </property>

Acegi Security는 보안 개체 콜백 단계 중에 SecurityContext의 Authentication 개체를 일시적으로 교체하는 것을 허용합니다. 이는 원래 Authentication 개체가 AuthenticationManager 및 AccessDecisionManager에 의해 성공적으로 처리된 경우에만 발생합니다. RunAsManager는 이 인증 개체를 만듭니다.
일반적으로 개발자는 RunAsManager를 사용하여 메서드 호출 기간 동안 인증된 사용자에 대해 하나 이상의 추가 역할을 구성합니다. 이는 원격 응용 프로그램에 액세스해야 하는 보안 빈에 유용합니다. 원격 응용 프로그램에서 다른 자격 증명을 요구할 수 있으므로 이렇게 하면 호출 역할과 원격 응용 프로그램에 필요한 역할 사이를 변환하여 원격 액세스에 성공할 수 있습니다. 새 Authentication 개체(RunAsUserToken)는 추가 인증 또는 권한 부여 확인 없이 간단히 유효한 Authentication 인증 개체로 수락됩니다.
새 Authentication 개체에 새 역할 또는 권한을 추가하면 사용자의 권한이 일시적으로 상승하여 사용자가 권한이 부여되지 않은 작업을 수행하게 될 수 있습니다.
다음은 RunAsManager를 사용하여 "UBER_BOSS" 역할을 "ROLE_PEON" 역할이 있는 사용자에게 추가하고 일시적으로 이 사용자를 관리자 권한으로 상승시킴으로써 모든 사용자가 PrivateCatalog에서 데이터를 가져올 수 있도록 하는 구성을 보여줍니다.

<bean id="bankManagerSecurity" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
...
 <property name="objectDefinitionSource">
   <value>
     com.example.service.PrivateCatalog.getData=ROLE_PEON,RUN_AS_UBER_BOSS
...
   </value>
 </property>
</bean>

기본적으로 Fusion 응용 프로그램의 작업 흐름은 GET 요청에서 직접 액세스할 수 없습니다. URL이 작업 흐름을 호출하려고 할 때마다 HTTP 403 상태 코드가 수신됩니다. 그러나 암시적 설정을 사용하면 항상 명확성이 떨어지고 기본 설정이 물밑에서 변경될 경우 원치 않는 동작으로 이어질 수 있습니다.

예제 1: 작업 흐름 정의 파일의 다음 조각은 암시적 기본 url-invoke-disallowed 설정으로 구성된 작업 흐름의 예를 보여줍니다.

...
    <task-flow-definition id="password">
        <default-activity>PasswordPrompt</default-activity>
        <view id="PasswordPrompt">
            <page>/PasswordPrompt.jsff</page>
        </view>
        <use-page-fragments/>
    </task-flow-definition>
...

정규 JSF 응용 프로그램에서는 지정한 변환기 및 유효성 검사기를 사용하여 UI 구성 요소가 값을 변환하고 확인합니다. 변환 및 검증은 페이지가 제출될 때 발생합니다. Fusion 응용 프로그램에서 책갈피 지정 가능한 보기는 페이지 제출로 연결되지 않으므로 기본적으로 유사한 변환 또는 검증이 수행되지 않습니다.

예제 1: 다음 구성 파일 조각은 paramName URL 매개 변수의 변환 또는 검증을 수행하지 않도록 구성된 책갈피 지정 가능한 보기의 샘플을 보여줍니다.

...
    <bookmark>
        <method>#{paramHandler.handleParams}</method>
        <url-parameter>
            <name>paramName</name>
            <value>#{requestScope.paramName}</value>
        </url-parameter>
    </bookmark>
...

Oracle ADF Faces 구성 요소의 속성 값은 대개 서버에서만 설정될 수 있습니다. 그러나 구성 요소가 많으면 개발자가 클라이언트에서 설정될 수 있는 속성의 목록을 정의할 수 있습니다. 이러한 구성 요소의 unsecure 속성은 그러한 목록을 지정할 수 있습니다.

현재 unsecure 속성 내에 나타날 수 있는 유일한 속성은 disabled이며, 이는 활성화되는 구성 요소와 그렇지 않은 구성 요소를 클라이언트가 정의하도록 허용합니다. 서버에서만 설정할 수 있는 속성의 값을 클라이언트가 제어하도록 하는 것은 좋은 방법이 아닙니다.

예제 1: 다음 코드는 사용자에게서 비밀번호 정보를 수집하고 unsecure 속성을 사용하는 inputText 구성 요소를 보여줍니다.

...
    <af:inputText id="pwdBox"
                  label="#{resources.PWD}"
                  value=""#{userBean.password}
                  unsecure="disabled"
                  secret="true"
                  required="true"/>
...

암호화 키를 정적 클래스 필드에 저장하면 프로세스 메모리(예: 루팅된 장치) 또는 프로세스 메모리 덤프(예: 크래시 덤프)에 액세스할 수 있는 엔터티가 쉽게 복구할 수 있습니다.

콘텐트 공급자에 대해 개별 읽기 및 쓰기 권한을 정의하는 것이 좋지만 writePermission만 정의하면 오해의 소지가 있을 수 있습니다. SQL의 특성상 진정한 쓰기 전용 쿼리를 생성하는 것은 일반적으로 불가능합니다. 사용자가 데이터에 액세스할 수 없는 경우에도 공격자는 where 절을 조작하여 저장된 데이터를 재구성할 수 있습니다.

예제 1: 다음은 writePermission으로만 선언된 콘텐트 공급자의 예입니다.

 <provider android:name=".ContentProvider" android:writePermission="content.permission.WRITE_CONTENT"/> 

일반적인 개발 방법은 응용 프로그램으로 발표하거나 배포하지는 않고 디버깅 및 테스트 목적으로만 특별 디자인된 "비밀" 코드를 추가하는 것입니다. 이 비밀 디버그 코드가 실수로 응용 프로그램에 남아 있게 되면 응용 프로그램은 예기치 않은 상호 작용 모드에 노출됩니다. 이 비밀 진입점은 디자인이나 테스트 도중 고려되지 않고 응용 프로그램의 예상 동작 조건 범위를 벗어나기 때문에 보안 위험을 야기합니다.

브로드캐스터 권한 없이 등록된 수신자는 임의의 브로드캐스터에게서 메시지를 수신합니다. 이러한 메시지가 악성 데이터를 포함하고 있거나 악의적인 브로드캐스터에게서 온 것일 경우, 응용 프로그램에 위험을 끼칠 수 있습니다.

예제 1: 다음 코드는 브로드캐스터 권한을 지정하지 않고 수신자를 등록합니다.

...
context.registerReceiver(broadcastReceiver, intentFilter);
...

모든 응용 프로그램은 매니페스트 정의에 액세스 권한이 명시적으로 할당되지 않은 공개 구성 요소에 액세스할 수 있습니다.

Android 응용 프로그램의 작업, 수신자 및 서비스 구성 요소에 대한 exported 속성의 기본값은 intent-filter의 존재 여부에 따라 달라집니다. intent-filter의 존재는 구성 요소가 외부용으로 설계되었으므로 exported 속성을 true로 설정함을 의미합니다. 이제 Android 플랫폼의 모든 다른 응용 프로그램에서 이 구성 요소에 접근할 수 있습니다.

예제 1: 다음은 intent-filter가 존재하고 명시적 접근 권한 집합이 없는 Android 작업의 예입니다.

 <activity android:name=".AndroidActivity"/> 

   <intent-filter android:label="activityName"/> 

    <action android:name=".someFunAction"/> 

   </intent-filter> 

    ... 

 </activity> 

이 활동은 악성 응용 프로그램에 의해 악용될 수 있습니다.

모든 응용 프로그램은 매니페스트 정의에 액세스 권한이 명시적으로 할당되지 않은 공개 구성 요소에 액세스할 수 있습니다. Android 컨텐츠 공급자는 android:minSdkVersion 또는 android:targetSdkVersion을 "16" 이하로 설정하는 응용 프로그램에서 기본적으로 내보내집니다. 이러한 속성 중 하나를 "17" 이상으로 설정하는 응용 프로그램의 경우 기본값은 "false"입니다.

예제 1: 다음은 명시적 접근 권한 또는 내보내는 플래그 없이 선언된 Android 콘텐트 공급자의 예입니다.

 <provider android:name=".ContentProvider"/> 

Android는 보안 공급자를 통해 보안 네트워크 통신을 제공합니다. 그러나 때때로 기본 보안 공급자에서 취약점이 발견됩니다. 이러한 취약점으로부터 보호하기 위해 Google Play 서비스는 장치의 보안 공급자를 자동으로 업데이트하여 알려진 익스플로이트으로부터 장치를 보호할 수 있도록 합니다. 앱에서 Google Play 서비스 메서드를 호출하여 알려진 익스플로이트를 차단하는 최신 업데이트가 앱을 실행하는 장치에서 실행되고 있는지 확인할 수 있습니다.

네트워크 보안 구성 기능을 사용하면 앱에서 앱 코드를 수정하지 않고도 안전한 선언적 구성 파일에서 네트워크 보안 설정을 사용자 지정할 수 있습니다. 특정 도메인과 특정 앱에 대해 이러한 설정을 구성할 수 있습니다. 이 기능의 주요 기능은 다음과 같습니다.
- 사용자 지정 트러스트 앵커: 앱의 보안 연결에서 신뢰할 수 있는 인증 기관(CA)을 사용자 지정합니다. 예를 들어 자체 서명된 특정 인증서를 신뢰하거나 앱이 신뢰하는 공개 CA 집합을 제한합니다.
- 디버그 전용 재정의: 설치 기반에 추가되는 위험 없이 앱의 보안 연결을 안전하게 디버그합니다.
- 일반 텍스트 트래픽 옵트아웃: 일반 텍스트 트래픽의 우발적인 사용으로부터 앱을 보호합니다.
- 인증서 고정: 앱의 보안 연결을 특정 인증서로 제한합니다.

수신자 권한 없이 보낸 브로드캐스트는 임의의 수신자에 접근할 수 없습니다. 이러한 브로드캐스트가 민감한 데이터를 포함하거나 악성 수신자에 도달하는 경우, 응용 프로그램에 위험을 끼칠 수 있습니다.

예제 1: 다음 코드는 수신자 권한을 지정하지 않고 브로드캐스트를 보냅니다.

...
context.sendBroadcast(intent);
...

시스템 브로드캐스트를 비공개 구성 요소로 보낼 수 있습니다. 타사로부터 비시스템 브로드캐스트를 수신하려면 구성 요소를 공개해야 합니다. 단일 구성 요소에서 시스템 브로드캐스트와 비시스템 브로드캐스트를 모두 수신하도록 등록하면 구성 요소의 일부 기능(시스템 부분)이 불필요하게 타사에 노출됩니다.

사용자 지정 권한을 선언할 때는 4가지 옵션을 사용하여 권한의 보호 수준을 지정할 수 있습니다. 즉, normal, dangerous, signature 및 signature or system입니다. Normal 권한은 권한을 요청하는 모든 응용 프로그램에 부여됩니다. Dangerous 권한은 사용자 확인 후에만 부여됩니다. Signature 권한은 권한을 정의하는 패키지와 동일한 개발자 키로 서명된 응용 프로그램에만 부여됩니다. Signature or system 권한은 signature 권한과 유사하지만 Android 시스템 이미지의 패키지에도 부여됩니다.

예제 1: 다음은 normal 보호 수준으로 선언된 사용자 지정 권한의 예입니다.

 <permission android:name="custom.PERMISSION"
                     android:label="@string/label_permission"
                     android:description="@string/desc_permission"
                     android:protectionLevel="normal">
      </permission>

결합된 읽기 및 쓰기 permission으로 선언된 콘텐트 공급자는 공급자에 대한 읽기 또는 쓰기 액세스를 요청하는 엔터티에 액세스할 수 있게 됩니다. 그러나 대부분의 경우 파일 시스템의 파일과 마찬가지로 공급자가 저장한 데이터에 대한 읽기 액세스 권한을 필요로 하는 엔터티는 데이터를 수정할 수 없어야 합니다. permission 속성을 설정해도 데이터의 무결성에 영향을 미치는 데이터 사용자와 상호 작용을 구분할 수는 없습니다.

예제 1: 다음은 결합된 읽기 및 쓰기 접근 permission으로 선언된 콘텐트 공급자의 예입니다.

 <provider android:name=".ContentProvider" android:permission="content.permission.READ_AND_WRITE_CONTENT"/>