1437 개 항목 찾음

취약점

EJB Bad Practices: Use of AWT/Swing

Java/JSP

Abstract

프로그램은 AWT/Swing을 사용하여 Enterprise JavaBeans 규격을 위반합니다.

Explanation

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"enterprise bean은 디스플레이에 정보를 출력하거나 키보드에서 정보를 입력받을 때 AWT 기능을 사용할 수 없습니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"서버는 응용 프로그램과 서버 시스템에 연결된 키보드/디스플레이가 직접 상호 작용하는 것을 허용하지 않습니다."

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] Standards Mapping - Common Weakness Enumeration CWE ID 575

desc.structural.java.ejb_bad_practices_use_of_awt_swing

EJB Bad Practices: Use of Class Loader

Java/JSP

Abstract

프로그램은 클래스 로더를 사용하여 Enterprise JavaBeans 규격을 위반합니다.

Explanation

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"Enterprise Bean은 클래스 로더 생성, 컨텍스트 클래스 로더 설정, 보안 관리자 설정, 새 보안 관리자 생성, JVM 중단 또는 입력, 출력 및 오류 스트림 변경을 할 수 없습니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"이러한 함수는 Enterprise Bean 컨테이너용으로 예약되어 있습니다. Enterprise Bean이 이러한 함수를 사용하면 보안이 약해지고 컨테이너가 런타임 환경을 올바로 관리하는 기능이 저하됩니다."

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] Standards Mapping - Common Weakness Enumeration CWE ID 578

desc.structural.java.ejb_bad_practices_use_of_classloader

EJB Bad Practices: Use of java.io

Java/JSP

Abstract

프로그램은 java.io 패키지를 사용하여 Enterprise JavaBeans 규격을 위반합니다.

Explanation

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"Enterprise Bean은 Java I/O 패키지를 사용하여 파일 시스템의 파일과 디렉터리에 액세스할 때 주의해야 합니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"파일 시스템 API는 비즈니스 구성 요소가 데이터에 액세스하는 데 적합하지 않습니다. 모든 인스턴스에서 파일에 액세스할 수 없는 경우도 있고, 인스턴스마다 내용이 다를 수도 있으며, 파일에 대한 업데이트를 조정하는 것이 어려울 수도 있습니다. 비즈니스 구성 요소는 JDBC 같은 리소스 관리자 API를 사용하여 데이터를 저장해야 합니다."

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] Standards Mapping - Common Weakness Enumeration CWE ID 576

desc.structural.java.ejb_bad_practices_use_of_java_io

EJB Bad Practices: Use of Sockets

Java/JSP

Abstract

프로그램은 소켓을 사용하여 Enterprise JavaBeans 규격을 위반합니다.

Explanation

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"enterprise bean은 소켓에서 수신 대기하거나 소켓에서 연결을 수락하거나 멀티캐스트에 소켓을 사용할 수 없습니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"Enterprise Bean 아키텍처는 Enterprise Bean 인스턴스가 네트워크 소켓 클라이언트가 되는 것을 허용하지만, 네트워크 서버가 되는 것은 허용하지 않습니다. 인스턴스가 네트워크 서버가 되도록 허용하면 Enterprise Bean의 기본 기능인 Enterprise Beans 클라이언트에 서비스를 제공하는 것과 충돌하게 됩니다."

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] Standards Mapping - Common Weakness Enumeration CWE ID 577

desc.structural.java.ejb_bad_practices_use_of_sockets

EJB Bad Practices: Use of Synchronization Primitives

Java/JSP

Abstract

프로그램은 스레드 동기화 기본 형식을 사용하여 Enterprise JavaBeans 규격을 위반합니다.

Explanation

Enterprise JavaBeans 규격에 따르면 모든 bean 공급자는 bean이 이식 가능하고 EJB 컨테이너에서 일관성 있게 동작하도록 하기 위한 프로그래밍 지침을 따라야 합니다[1].

이 경우, 프로그램은 다음 EJB 지침을 위반합니다.

"Bean 관리 동시성이 포함된 단일 항목 세션 Bean이 아닌 경우 Enterprise Bean은 여러 인스턴스의 실행을 동기화할 때 스레드 동기화 기본 형식을 사용할 수 없습니다."

규격에서 다음과 같이 정당화하는 요구 사항입니다.

"이 규칙은 일부 Enterprise Bean 컨테이너가 하나의 JVM을 사용하여 모든 Enterprise Bean의 인스턴스를 실행하는 반면 나머지는 여러 JVM에 인스턴스를 분산시키기 때문에 런타임 의미의 일관성을 유지하기 위해 필요합니다."

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] THI01-J. Do not invoke ThreadGroup methods CERT

[3] Standards Mapping - Common Weakness Enumeration CWE ID 574

desc.structural.java.ejb_bad_practices_use_of_synchronization_primitives

Encoding Confusion: BiDi Control Characters

Universal

Abstract

소스 코드의 양방향 제어 문자가 트로이 목마 소스 공격으로 이어질 수 있습니다.

Explanation

유니코드 양방향 재정의 제어 문자가 포함된 소스 코드는 내부자 위협 공격의 신호일 수 있습니다. 이러한 공격은 C, C++, C#, Go, Java, JavaScript, Python 및 Rust와 같은 프로그래밍 언어의 공급망을 통해 활용될 수 있습니다. Nicholas Boucher와 Ross Anderson은 여러 변종 공격을 이미 발표했으며 여기에는 Early Returns, Commenting-Out 및 Stretched Strings 등이 포함됩니다.
예제 1: 다음 코드는 C 소스 코드 파일에서 Early Return 공격으로 이어지는 제어 문자를 보여줍니다.


#include <stdio.h>

int main() {
	/* Nothing to see here; newline RLI /*/ return 0 ;
	printf("Do we get here?\n");
	return 0;
}

Example 1의 RLI(오른쪽에서 왼쪽으로 격리) 유니코드 양방향 제어 문자는 코드를 다음과 같이 보이게 합니다.


#include <stdio.h>

int main() {
	/* Nothing to see here; newline; return 0 /*/
	printf("Do we get here?\n");
	return 0;
}

특히 주의할 점은 취약한 편집기/뷰어에서 코드 검토를 수행하는 개발자는 취약한 컴파일러가 처리하는 것을 눈으로 볼 수 없다는 것입니다. 특히 프로그램 흐름을 수정하는 조기 반환 문이 여기에 해당합니다.

References

[1] Nicholas Boucher, and R. Anderson Trojan Source: Invisible Vulnerabilities

[2] Standards Mapping - Common Weakness Enumeration CWE ID 451

[3] Standards Mapping - OWASP Top 10 2017 A1 Injection

[4] Standards Mapping - OWASP Top 10 2021 A03 Injection

[5] Standards Mapping - Smart Contract Weakness Classification SWC-130

desc.regex.universal.encoding_confusion_bidi_control_characters

Experimental API

Scala

Abstract

이 응용 프로그램은 실험적인 라이브러리를 사용합니다.

Explanation

이 라이브러리는 실험적 라이브러리로 간주되므로 분명한 이유가 없는 한 운영 환경에서 사용하지 않아야 합니다.

desc.semantic.scala.experimental_api

Expression Language Injection: Spring

Java/JSP

Abstract

확인되지 않은 SpEL 식을 평가하면 원격 코드가 실행될 수 있습니다.

Explanation

SpEL(Spring Expression Language)은 런타임 시 개체 그래프를 쿼리하고 조작하는 것을 지원하는 강력한 표현 언어입니다. 언어 구문은 Unified EL과 유사하지만 추가 기능, 특히 메서드 호출 및 기본 문자열 템플릿 기능을 제공합니다.
확인되지 않은 식을 평가하도록 허용하면 공격자가 임의 코드를 실행할 수 있게 됩니다.

예제 1: 응용 프로그램이 사용자가 제어하는 확인되지 않은 데이터를 사용하여 SpEL 식을 생성하고 평가합니다.


String expression = request.getParameter("input");
SpelExpressionParser parser = new SpelExpressionParser();
SpelExpression expr = parser.parseRaw(expression);

예제 2: 응용 프로그램이 이중 SpEL 평가를 수행하는 Spring 태그에서 사용자가 제어하는 확인되지 않은 데이터를 사용합니다.


    <spring:message text="" code="${param['message']}"></spring:message>

References

[1] Dan Amodio Remote Code with Expression Language Injection

[2] Expression Language Injection OWASP

[3] CVE-2011-2730 Red Hat

[4] Standards Mapping - Common Weakness Enumeration CWE ID 94, CWE ID 95, CWE ID 917

[5] Standards Mapping - Common Weakness Enumeration Top 25 2019 [18] CWE ID 094

[6] Standards Mapping - Common Weakness Enumeration Top 25 2020 [17] CWE ID 094

[7] Standards Mapping - Common Weakness Enumeration Top 25 2021 [25] CWE ID 077

[8] Standards Mapping - Common Weakness Enumeration Top 25 2022 [17] CWE ID 077, [25] CWE ID 094

[9] Standards Mapping - Common Weakness Enumeration Top 25 2023 [16] CWE ID 077, [23] CWE ID 094

[10] Standards Mapping - Common Weakness Enumeration Top 25 2024 [11] CWE ID 094, [13] CWE ID 077

[11] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[12] Standards Mapping - FIPS200 SI

[13] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[14] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[15] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[16] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.2.4 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.2.5 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.2.8 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3)

[17] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls

[18] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation

[19] Standards Mapping - OWASP Top 10 2004 A6 Injection Flaws

[20] Standards Mapping - OWASP Top 10 2007 A2 Injection Flaws

[21] Standards Mapping - OWASP Top 10 2010 A1 Injection

[22] Standards Mapping - OWASP Top 10 2013 A1 Injection

[23] Standards Mapping - OWASP Top 10 2017 A1 Injection

[24] Standards Mapping - OWASP Top 10 2021 A03 Injection

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.6

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.2

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.1

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.1

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.1

[30] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.1

[31] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.1

[32] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[33] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[34] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[35] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation

[36] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation

[37] Standards Mapping - SANS Top 25 2009 Risky Resource Management - CWE ID 094

[38] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3570 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3570 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3570 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3570 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3570 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3570 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3570 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I

[46] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I

[47] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I

[48] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I

[49] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I

[50] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I

[51] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I

[52] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I

[53] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I

[54] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I

[55] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I

[56] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I

[57] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I

[58] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[59] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[60] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)

desc.dataflow.java.expression_language_injection_spring

External Content: Content Delivery Network

C#/VB.NET/ASP.NET

Abstract

필수적인 코드를 사용자에게 직접 제공하는 CDN에 의존하면 악성 코드가 실행될 수 있습니다.

Explanation

응용 프로그램의 의존적인 JavaScript를 제공하는 CDN의 사용은 응용 프로그램의 고유 서버에서 JavaScript를 제공하는 등 여러 많은 장점을 제공합니다. 이러한 장점에는 향상된 성능 및 응용 프로그램 소유자의 쉬운 코드 유지 관리가 포함됩니다. 그러나, 응용 프로그램은 CDN이 브라우저에 안전한 콘텐트를 제공한다고 가정합니다. 공격자가 CDN을 손상시키면 CDN은 사용자의 브라우저에 악성 코드를 전달합니다. 이제 사용자의 브라우저는 응용 프로그램이 제어하거나 악성으로 감지할 수 없는 코드를 실행하고 있습니다.

예제 1: 다음 ASPX 코드는 Microsoft CDN을 참조하여 Microsoft의 jQuery 코드를 포함합니다.


...
<script src="http://ajax.microsoft.com/ajax/jquery/jquery-1.4.2.min.js" type="text/javascript"></script>
...

예제 2: 다음 ASPX 코드는 Microsoft Ajax CDN에 대한 모든 ASP.NET 프레임워크 스크립트 요청의 자동 리디렉션을 활성화합니다.


...
<asp:ScriptManager
   ID="ScriptManager1"
   EnableCdn="true"
   Runat="Server" />
...

Example 2에서 ScriptManager 제어는 해당 ASPX 페이지를 구성하여 적절한 CDN에 대한 임의의 스크립트 요청을 자동으로 리디렉션합니다.

References

[1] Content Deliver Network and its Regulation The Journal of China Universities of Posts and Telecommunications

[2] Managed Content Security Delivery radware

[3] Standards Mapping - Common Weakness Enumeration CWE ID 94, CWE ID 98

[4] Standards Mapping - Common Weakness Enumeration Top 25 2019 [18] CWE ID 094

[5] Standards Mapping - Common Weakness Enumeration Top 25 2020 [17] CWE ID 094

[6] Standards Mapping - Common Weakness Enumeration Top 25 2022 [25] CWE ID 094

[7] Standards Mapping - Common Weakness Enumeration Top 25 2023 [23] CWE ID 094

[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [11] CWE ID 094

[9] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001167

[10] Standards Mapping - FIPS200 SI

[11] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[12] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-18 Mobile Code (P2)

[13] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-18 Mobile Code

[14] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.2.5 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.2.8 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 5.3.9 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 10.3.2 Deployed Application Integrity Controls (L1 L2 L3), 12.3.3 File Execution Requirements (L1 L2 L3), 12.3.6 File Execution Requirements (L2 L3), 14.2.4 Dependency (L2 L3)

[15] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[16] Standards Mapping - OWASP Top 10 2004 A1 Unvalidated Input

[17] Standards Mapping - OWASP Top 10 2007 A3 Malicious File Execution

[18] Standards Mapping - OWASP Top 10 2010 A1 Injection

[19] Standards Mapping - OWASP Top 10 2013 A1 Injection

[20] Standards Mapping - OWASP Top 10 2017 A1 Injection

[21] Standards Mapping - OWASP Top 10 2021 A03 Injection

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.3

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.8

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[30] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[31] Standards Mapping - SANS Top 25 2009 Risky Resource Management - CWE ID 094

[32] Standards Mapping - SANS Top 25 2010 Risky Resource Management - CWE ID 098

[33] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3600 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3600 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3600 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3600 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3600 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3600 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3600 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-003300 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-003300 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-003300 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-003300 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-003300 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-003300 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-003300 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-003300 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-003300 CAT II

[49] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-003300 CAT II

[50] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-003300 CAT II

[51] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-003300 CAT II

[52] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-003300 CAT II

[53] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-003300 CAT II

[54] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-003300 CAT II

[55] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)

desc.semantic.dotnet.external_content_content_delivery_network

File Based Cross-Zone Scripting

Abstract

응용 프로그램의 컨텍스트 내에서 신뢰할 수 없는 스크립트를 실행할 수 있는 파일을 로드하는 것은 위험합니다.

Explanation

File Based Cross Zone Scripting은 다음 조건이 충족될 때 발생합니다.

1. 스크립트가 응용 프로그램 내에서 실행되도록 허용할 수 있는 파일이 로드됩니다.

2. 로드되는 스크립트의 출처가 실행 중인 응용 프로그램과 동일합니다.

이 두 조건이 모두 충족될 경우 특히 상대방이 정보가 응용 프로그램의 경계 내에서 오는 것인지에 따라 신뢰 여부를 결정할 경우, 일련의 공격이 가능해질 수 있습니다.

예제 1: 다음 코드는 Android WebView를 사용하여 로컬에서 파일을 로드합니다.


...
myWebView.loadUrl("file:///android_asset/www/index.html");
...

Example 1에서 Android WebView 렌더러는 “file://”로 시작하는 URL을 사용하여 loadUrl()로 로드되는 모든 것을 출처가 동일한 것으로 취급합니다.

공격자가 파일에서 로드될 때 File Based Cross-Zone Scripting 취약점을 활용하는 몇 가지 일반적인 방법이 있습니다.
- 파일에 스크립트를 삽입할 수 있는 공격자가 로컬 파일을 조작할 수 있습니다.
이 방법은 파일 권한, 파일의 위치 또는 파일이 저장되었다 로드될 수 있는(수정 가능 시간이 있을 수 있음) 경쟁 조건(race condition)에 따라 달라집니다.

- 파일이 외부 리소스로 호출될 수 있습니다.
로드된 파일이 외부 리소스에서 스크립트를 검색할 때 이 상황이 발생할 수 있습니다.

예제 2: 다음 코드는 실행해야 하는 JavaScript를 결정하기 위해 외부 소스를 찾습니다.


  <script src="http://www.example.com/js/fancyWidget.js"></script>

Example 2에서는 결과 스크립트를 악의적 작업자가 수정하는 것이 가능한 안전하지 않은 프로토콜이 사용됩니다. 또는 컴퓨터를 공격자의 사이트로 경로 재지정하는 다른 공격이 수행될 수 있습니다.

- 로드된 파일에 Cross-Site Scripting 취약점이 포함될 수 있습니다.
로드되는 파일에 코드 삽입이 가능한 경우, 삽입된 코드는 응용 프로그램의 컨텍스트에서 실행될 수 있습니다. 꼭 JavaScript를 삽입하는 기능이 아니라 단순히 HTML을 삽입할 수만 있어도 변조(defacement) 또는 DOS(Denial of Service) 공격이 가능해질 수 있습니다.

References

[1] Erika Chin and David Wagner Bifocals: Analyzing WebView Vulnerabilities in Android Applications

[2] Standards Mapping - Common Weakness Enumeration CWE ID 79, CWE ID 80

[3] Standards Mapping - Common Weakness Enumeration Top 25 2019 [2] CWE ID 079

[4] Standards Mapping - Common Weakness Enumeration Top 25 2020 [1] CWE ID 079

[5] Standards Mapping - Common Weakness Enumeration Top 25 2021 [2] CWE ID 079

[6] Standards Mapping - Common Weakness Enumeration Top 25 2022 [2] CWE ID 079

[7] Standards Mapping - Common Weakness Enumeration Top 25 2023 [2] CWE ID 079

[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [1] CWE ID 079

[9] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[10] Standards Mapping - FIPS200 SI

[11] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[12] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[13] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[14] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.3 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3)

[15] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[16] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4, MASVS-PLATFORM-2

[17] Standards Mapping - OWASP Top 10 2004 A4 Cross Site Scripting

[18] Standards Mapping - OWASP Top 10 2007 A1 Cross Site Scripting (XSS)

[19] Standards Mapping - OWASP Top 10 2010 A2 Cross-Site Scripting (XSS)

[20] Standards Mapping - OWASP Top 10 2013 A3 Cross-Site Scripting (XSS)

[21] Standards Mapping - OWASP Top 10 2017 A7 Cross-Site Scripting (XSS)

[22] Standards Mapping - OWASP Top 10 2021 A03 Injection

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.4

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.1

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.7

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.7

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.7

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.7

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.7

[30] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[31] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[32] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[33] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[34] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection

[35] Standards Mapping - SANS Top 25 2009 Insecure Interaction - CWE ID 079

[36] Standards Mapping - SANS Top 25 2010 Insecure Interaction - CWE ID 079

[37] Standards Mapping - SANS Top 25 2011 Insecure Interaction - CWE ID 079

[38] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3580 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3580 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3580 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3580 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3580 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3580 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3580 CAT I