<exception> 태그를 사용하려면 예외 유형을 정의해야 합니다. type 속성이 누락되거나 비어 있으면 불필요한 예외 처리기 또는 실수로 인한 누락을 나타냅니다. 개발자가 예외를 처리하려고 했지만 예외 유형을 정의하는 것을 잊은 경우 응용 프로그램에서 시스템에 대한 민감한 정보가 누출될 수 있습니다.
예제 1: 다음 구성은 <exception> 태그에서 유형을 생략합니다.

  <global-exceptions>
    <exception
      key="error.key"
      handler="com.mybank.ExceptionHandler"/>
  </global-exceptions>

Struts는 form-bean 항목을 사용하여 HTML 양식을 작업에 매핑합니다. <action> 태그의 name 속성이 form-bean의 이름과 일치하지 않으면 작업을 매핑할 수 없으며 불필요한 정의 또는 입력 오류가 있음을 나타냅니다.

예제 1: 다음 구성에는 bean2에 대한 매핑이 없습니다.

<form-beans>
  <form-bean name="bean1" type="coreservlets.UserFormBean" />
</form-beans>

<action-mappings>
  <action path="/actions/register1" type="coreservlets.RegisterAction1" name="bean1" scope="request" />
  <action path="/actions/register2" type="coreservlets.RegisterAction2" name="bean2" scope="request" />
</action-mappings>

Struts는 form-bean 이름을 사용하여 HTML 양식을 작업에 매핑합니다. form-bean에 이름이 없으면 작업에 매핑할 수 없으며 불필요한 정의 또는 실수로 누락된 빈을 나타냅니다.
다음은 적절한 양식 빈에 대한 예제입니다.
예제 1: 다음 form-bean에는 name 속성이 비어 있습니다.

<form-beans>
  <form-bean name="" type="org.apache.struts.validator.DynaValidatorForm">
    <form-property name="name" type="java.lang.String" />
    <form-property name="password" type="java.lang.String" />
  </form-bean>
</form-beans>

Struts는 form-bean 항목을 사용하여 HTML 양식을 작업에 매핑합니다. form-bean에 유형이 없으면 작업에 매핑할 수 없습니다.
예제 1: 다음 form-bean에는 type 속성이 비어 있습니다.

<form-beans>
  <form-bean name="loginForm" type="">
    <form-property name="name" type="java.lang.String" />
    <form-property name="password" type="java.lang.String" />
  </form-bean>
</form-beans>

Struts는 <form-property> 태그에 type 속성을 포함할 것을 요구합니다. Struts에서 유형이 없는 form-property를 정의하는 양식을 처리하면 예외가 발생합니다.

예제 1: 다음 구성은 name 속성에 대한 유형을 생략합니다.

<form-bean name="loginForm" type="org.apache.struts.validator.DynaValidatorForm">
  <form-property name="name" />
  <form-property name="password" type="java.lang.String" />
</form-bean>

<forward> 태그에는 name 및 path 속성이 있어야 합니다. forward는 이름 없이 사용되지 않습니다.

예제 1: 다음 <forward> 태그에는 name 속성이 비어 있습니다.

    <forward name="" path="/results.jsp"/>

<forward> 태그에는 name 및 path 속성이 있어야 합니다. 경로를 생략하거나 공백 경로를 지정하는 것은 오류입니다. 또한 모든 경로는 "/" 문자로 시작되어야 합니다.

예제 1: 다음 <forward> 태그에는 path 속성이 누락되어 있습니다.

    <forward name="success" />

이름이 같은 Validation Form(검증 폼)이 두 개 있는 경우 Struts 유효성 검사기는 임의로 폼 중 하나를 선택하여 입력값 검증에 사용하고 나머지는 삭제합니다. 이 결정은 프로그래머의 예상과 일치하지 않을 수 있습니다. 그뿐만 아니라, 검증 로직을 유지 관리하고 있지 않다는 것을 의미하고 다른 더 복잡한 검증 오류가 존재한다는 것을 의미할 수도 있습니다.

예제 1: 이름이 같은 두 개의 Validation Form(검증 폼)입니다.

<form-validation>
    <formset>
        <form name="ProjectForm">
        ...
        </form>
        <form name="ProjectForm">
        ...
        </form>
    </formset>
</form-validation>

검증 로직을 유지 관리하고 응용 프로그램의 나머지 부분과 동기화하는 것은 매우 중요합니다. 검증되지 않은 입력은 오늘날 가장 빈번하게 발생하고 가장 심각한 소프트웨어 보안 문제의 원인입니다. Cross-Site Scripting, SQL Injection 및 Process Control 취약점은 모두 입력값 검증이 불완전하거나 없는 것에서 비롯됩니다. J2EE 응용 프로그램은 보통 메모리 손상 공격에는 취약하지 않지만 J2EE 응용 프로그램이 배열 범위 검사를 수행하지 않는 네이티브 코드와 상호 작용하는 경우, 공격자가 J2EE 응용 프로그램의 입력값 검증 실수를 이용하여 버퍼 오버플로 공격을 시작할 수 있습니다.

Struts 유효성 검사기는 폼의 validate() 메서드를 사용하여 폼 속성의 내용을 관련 Validation Form(검증 폼)에 지정된 제약 조건과 대조하여 검사합니다. 즉, 다음 클래스는 검증 프레임워크의 일부인 validate() 메서드를 갖습니다.

    ValidatorForm
    ValidatorActionForm
    DynaValidatorForm
    DynaValidatorActionForm

이 클래스 중 하나를 확장하는 클래스를 만드는 경우 및 클래스가 validate() 메서드를 덮어쓰고 사용자 지정 검증 로직을 구현하는 경우, validate() 구현에서 super.validate()를 호출해야 합니다. 그렇지 않으면 검증 프레임워크가 폼의 내용이 Validation Form(검증 폼)에 맞는지 검사할 수 없습니다. 다시 말해, 주어진 폼의 검증 프레임워크가 비활성화됩니다.

검증 프레임워크가 비활성화되면 응용 프로그램이 수많은 종류의 공격에 노출됩니다. 검증되지 않은 입력은 cross-site scripting, process control 및 SQL injection과 같은 취약점의 원인이 됩니다. J2EE 응용 프로그램은 보통 메모리 손상 공격에는 취약하지 않지만 J2EE 응용 프로그램이 배열 범위 검사를 수행하지 않는 네이티브 코드와 상호 작용하는 경우, 공격자가 J2EE 응용 프로그램의 입력값 검증 실수를 이용하여 buffer overflow 공격을 가할 수 있습니다.

Struts 유효성 검사기를 사용하려면 폼이 다음 중 하나를 확장해야 합니다.

ValidatorForm
ValidatorActionForm
DynaValidatorActionForm
DynaValidaorForm

Struts 유효성 검사기는 이러한 클래스에서 validate() 메서드를 구현하여 응용 프로그램에 연결되므로 이러한 클래스 중 하나를 확장해야 합니다.

다음 클래스에서 파행된 폼은 Struts 유효성 검사기를 사용할 수 없습니다.

ActionForm
DynaActionForm

폼에 대한 검증 프레임워크를 우회하면 응용 프로그램이 다양한 유형의 공격에 노출됩니다. 확인되지 않은 입력은 Cross-Site Scripting, Process Control 및 SQL Injection과 같은 취약점의 원인이 됩니다. J2EE 응용 프로그램은 보통 메모리 손상 공격에는 취약하지 않지만 J2EE 응용 프로그램이 배열 범위 검사를 수행하지 않는 네이티브 코드와 상호 작용하는 경우, 공격자가 J2EE 응용 프로그램의 입력값 검증 실수를 이용하여 버퍼 오버플로 공격을 시작할 수 있습니다.

입력 필드를 하나만 검증하지 않아도 공격자에게 공격의 여지를 제공할 수 있습니다.

검증되지 않은 입력은 오늘날 가장 빈번하게 발생하고 가장 심각한 소프트웨어 보안 문제의 원인입니다. Cross-Site Scripting, SQL Injection 및 Process Control 취약점은 모두 입력값 검증이 불완전하거나 없는 것에서 비롯됩니다. J2EE 응용 프로그램은 보통 메모리 손상 공격에는 취약하지 않지만 J2EE 응용 프로그램이 배열 범위 검사를 수행하지 않는 네이티브 코드와 상호 작용하는 경우, 공격자가 J2EE 응용 프로그램의 입력값 검증 실수를 이용하여 버퍼 오버플로 공격을 시작할 수 있습니다.

일부 응용 프로그램은 둘 이상의 목적에 하나의 ActionForm을 사용합니다. 이런 경우 일부 필드는 작업 매핑(Action mapping)에서 사용되지 않을 수도 있습니다. 사용하지 않는 필드도 반드시 확인해야 합니다. 가급적이면 사용하지 않는 필드를 제한하여 비워두거나 정의하지 않도록 해야 합니다. 사용하지 않는 필드를 확인하지 않으면 action의 공유 비즈니스 로직으로 인해 공격자가 해당 폼을 다른 용도로 사용하기 위해 수행하는 검증 검사를 무시할 수 있습니다.

확인되지 않은 입력은 J2EE 응용 프로그램 취약점의 주된 원인입니다. 확인되지 않은 입력은 Cross-Site Scripting, Process Control, SQL Injection 등 수많은 취약점을 야기할 수 있습니다. J2EE 응용 프로그램은 보통 메모리 손상 공격에는 취약하지 않지만 J2EE 응용 프로그램이 배열 범위 검사를 수행하지 않는 네이티브 코드와 상호 작용하는 경우, 공격자가 J2EE 응용 프로그램의 입력값 검증 실수를 이용하여 버퍼 오버플로 공격을 시작할 수 있습니다.

이러한 공격을 방지하려면 Struts 유효성 검사기를 사용하여 응용 프로그램에서 처리하기 전에 모든 프로그램 입력을 확인하십시오. Fortify Static Code Analyzer를 사용하여 Struts 유효성 검사기 구성에 허점이 없는지 확인하십시오.

유효성 검사기 사용 예에는 다음을 확인하는 것이 포함됩니다.

- 전화 번호 필드에는 전화 번호로서 유효한 문자만 사용합니다.

- 부울 값은 "T" 또는 "F"뿐입니다.

- 자유 형식 문자열은 적절한 길이와 구성을 유지합니다.

Struts는 form-bean 항목을 사용하여 HTML 양식을 작업에 매핑합니다. Struts 구성 파일의 <action-mappings> 요소에<form-bean> 태그를 통해 지정된 관련 작업 양식에 해당하는 항목이 없는 경우 응용 프로그램 논리가 최신 상태가 아닐 수 있습니다.

예제 1: 다음 구성에는 bean2에 대한 매핑이 없습니다.

<form-beans>
  <form-bean name="bean1" type="coreservlets.UserFormBean1" />
  <form-bean name="bean2" type="coreservlets.UserFormBean2" />
</form-beans>

<action-mappings>
  <action path="/actions/register1" type="coreservlets.RegisterAction1" name="bean1" scope="request" />
</action-mappings>

개발자가 Action Form(작업 폼) 매핑을 제거하거나 이름을 바꿀 때 검증 로직을 업데이트하는 것을 잊기 쉽습니다. 검증 로직이 올바로 유지 관리되고 있지 않음을 입증하는 한 가지 사례가 바로 Unused validation form의 존재입니다.

Struts Action Form(작업 폼) 매핑이 폼을 지정한 경우, Struts 유효성 검사기에서 정의된 Validation Form(검증 폼)이 있어야 합니다. Action Form(작업 폼) 매핑의 해당 Validation Form(검증 폼)을 정의하지 않으면 검증되지 않은 입력을 이용하는 수많은 공격에 취약해집니다.

검증되지 않은 입력은 오늘날 가장 빈번하게 발생하고 가장 심각한 소프트웨어 보안 문제의 원인입니다. Cross-Site Scripting, SQL Injection 및 Process Control 취약점은 모두 입력값 검증이 불완전하거나 없는 것에서 비롯됩니다. J2EE 응용 프로그램은 보통 메모리 손상 공격에는 취약하지 않지만 J2EE 응용 프로그램이 배열 범위 검사를 수행하지 않는 네이티브 코드와 상호 작용하는 경우, 공격자가 J2EE 응용 프로그램의 입력값 검증 실수를 이용하여 버퍼 오버플로 공격을 시작할 수 있습니다.

Action 또는 Form이 다른 방식으로 검증 작업을 수행할 수도 있지만 Struts 유효성 검사기는 모든 입력이 최소한 기본 수준의 검사를 받는지 확인할 수 있는 탁월한 방법을 제공합니다. 이 방법이 아니면 모든 입력을 확인했다는 확신을 얻기가 어렵거나 때로는 불가능합니다.

Action Form(작업 폼) 매핑이 검증을 비활성화해서는 안 됩니다. 검증을 비활성화하면 Form이 수행하는 사용자 지정 검증 로직뿐 아니라 Struts 유효성 검사기까지 비활성화됩니다.

예제 1: 검증을 비활성화하는 Action Form(작업 폼) 매핑입니다.

<action path="/download"
type="com.website.d2.action.DownloadAction"
name="downloadForm"
scope="request"
input=".download"
validate="false">
</action>

검증을 비활성화하면 이 작업이 다양한 유형의 공격에 노출됩니다. 확인되지 않은 입력은 Cross-Site Scripting, Process Control 및 SQL Injection과 같은 취약점의 원인이 됩니다. J2EE 응용 프로그램은 보통 메모리 손상 공격에는 취약하지 않지만 J2EE 응용 프로그램이 배열 범위 검사를 수행하지 않는 네이티브 코드와 상호 작용하는 경우, 공격자가 J2EE 응용 프로그램의 입력값 검증 실수를 이용하여 버퍼 오버플로 공격을 시작할 수 있습니다.

개발자가 ActionForm 클래스를 변경할 때 검증 로직을 업데이트하는 것을 잊기 쉽습니다. 검증 로직이 올바로 유지 관리되고 있지 않음을 입증하는 한 가지 사례가 바로 Action Form(작업 폼)과 Validation Form(검증 폼)의 불일치입니다.

예 1.a: 필드가 두 개인 Action Form(작업 폼)입니다.

    public class DateRangeForm extends ValidatorForm {
    String startDate, endDate;
    public void setStartDate(String startDate) {
        this.startDate = startDate;
    }
    public void setEndDate(String endDate) {
        this.endDate = endDate;
    }
}

예제 1.a는 두 개의 필드, startDate와 endDate가 있는 Action Form(작업 폼)을 보여줍니다.

예 1.b: 세 번째 필드가 있는 Validation Form(검증 폼)입니다.

<form name="DateRangeForm">
    <field property="startDate" depends="date">
        <arg0 key="start.date"/>
    </field>
    <field property="endDate" depends="date">
         <arg0 key="end.date"/>
    </field>
    <field property="scale" depends="integer">
         <arg0 key="range.scale"/>
    </field>
</form>

예제 1.b는 Action Form(작업 폼)의 Validation Form(검증 폼)을 보여 줍니다. Validation Form(검증 폼)에는 세 번째 필드로 다음을 보여줍니다. scale. 세 번째 필드의 존재는 DateRangeForm을 검증하지 않고 수정했다는 것을 의미합니다.

검증 로직을 유지 관리하고 응용 프로그램의 나머지 부분과 동기화하는 것은 매우 중요합니다. 검증되지 않은 입력은 오늘날 가장 빈번하게 발생하고 가장 심각한 소프트웨어 보안 문제의 원인입니다. Cross-Site Scripting, SQL Injection 및 Process Control 취약점은 모두 입력값 검증이 불완전하거나 없는 것에서 비롯됩니다. J2EE 응용 프로그램은 보통 메모리 손상 공격에는 취약하지 않지만 J2EE 응용 프로그램이 배열 범위 검사를 수행하지 않는 네이티브 코드와 상호 작용하는 경우, 공격자가 J2EE 응용 프로그램의 입력값 검증 실수를 이용하여 버퍼 오버플로 공격을 시작할 수 있습니다.

ABAP 시스템 필드는 ABAP 프로그램에서 항상 사용할 수 있습니다. 런타임 시스템은 프로그램 시작 이후, 화면 전송 이후, 내부 모드 변경 이후에 컨텍스트에 따라 ABAP 시스템 필드를 채웁니다. 이들은 프로그램 내에서 시스템 상태를 쿼리하는 데 사용될 수 있습니다. 시스템 필드는 가변적이지만, 항상 상수이며 읽기 전용인 것처럼 취급되어야 합니다. 이들의 값을 변경하면 프로그램 흐름에 대한 중요 필수 정보가 손실될 수 있습니다. 이들 중 극히 일부만 고객 ABAP 프로그램 내에서 변경됩니다.


ABAP 프로그램에 런타임 관련 정보를 전달하는 시스템 필드 값을 변경하면 ABAP 프로그램이 중단되거나 예기치 않은 방식으로 동작할 수 있습니다.

정보 누출은 시스템 데이터 또는 디버그 정보가 출력 스트림이나 로깅 함수를 통해 프로그램을 벗어날 때 발생합니다.

예제 1: 다음 코드는 표준 오류 스트림에 예외 사항을 작성합니다.

try {
    ...
} catch (Exception e) {
    e.printStackTrace();
}

시스템 구성에 따라 이 정보는 콘솔에 덤프되거나 로그 파일에 작성되거나 원격 사용자에게 노출될 수 있습니다. 예를 들어, 스크립팅 메커니즘을 사용하면 "표준 오류" 또는 "표준 출력"에서 파일이나 다른 프로그램으로 출력 정보를 간단하게 리디렉션할 수 있습니다. 또는 프로그램이 실행되는 시스템에는 로그를 원격 장치로 전송하는 "syslog" 서버와 같은 원격 로깅 메커니즘이 있을 수 있습니다. 개발 단계에서는 이 정보가 어디에 표시될지 알 방법이 없습니다.

경우에 따라 오류 메시지가 공격자에게 시스템이 취약한 정확한 공격 유형을 알려주기도 합니다. 예를 들어, 데이터베이스 오류 메시지가 응용 프로그램이 SQL injection 공격에 취약하다는 것을 드러낼 수 있습니다. 다른 오류 메시지도 비교적 모호하지만 시스템에 대한 단서를 제공합니다. Example 1에서는 누출된 정보가 운영 체제의 종류, 시스템에 설치된 응용 프로그램 및 관리자가 프로그램 구성에 들인 관심의 정도에 대한 정보를 암시할 수 있습니다.

정보 유출은 모바일 컴퓨팅 환경에서도 문제가 됩니다. 모바일 플랫폼에서는 다양한 소스에서 다운로드된 응용 프로그램이 같은 장치에서 함께 실행됩니다. 즉 금융 응용 프로그램과 맬웨어를 함께 실행할 가능성이 높으므로 응용 프로그램 작성자는 장치에서 실행되는 다른 응용 프로그램으로 주소가 지정된 메시지에 포함하는 정보를 주의하여 선택해야 합니다.

예제 2: 다음 코드는 등록된 모든 Android 수신자에 대해 catch된 예외의 스택 추적을 브로드캐스트합니다.

...
try {
  ...
} catch (Exception e) {
    String exception = Log.getStackTraceString(e);
    Intent i = new Intent();
    i.setAction("SEND_EXCEPTION");
    i.putExtra("exception", exception);
    view.getContext().sendBroadcast(i);
}
...

모바일 환경과 관련된 시나리오가 하나 더 있습니다. 현재 대부분의 모바일 장치는 무선 통신을 사용하는 장치 간에 정보를 빠르게 교환할 수 있도록 NFC(근거리 통신) 프로토콜을 구현합니다. NFC 프로토콜은 장치를 근접하게 또는 서로 접촉하도록 배치하는 방식으로 작동합니다. NFC의 통신 범위는 불과 몇 센티미터 정도로 제한되지만 NFC만 사용해서는 보안 통신이 보장되지 않으므로 도청, 데이터 수정 및 기타 다양한 유형의 공격을 할 수 있습니다.

예제 3: Android 플랫폼에서는 NFC가 지원됩니다. 다음 코드는 범위 내의 다른 장치로 푸시되는 메시지를 생성합니다.

...
public static final String TAG = "NfcActivity";
private static final String DATA_SPLITTER = "__:DATA:__";
private static final String MIME_TYPE = "application/my.applications.mimetype";
...
TelephonyManager tm = (TelephonyManager)Context.getSystemService(Context.TELEPHONY_SERVICE);
String VERSION = tm.getDeviceSoftwareVersion();
...
NfcAdapter nfcAdapter = NfcAdapter.getDefaultAdapter(this);
if (nfcAdapter == null)
  return;

String text = TAG + DATA_SPLITTER + VERSION;
NdefRecord record = new NdefRecord(NdefRecord.TNF_MIME_MEDIA,
            MIME_TYPE.getBytes(), new byte[0], text.getBytes());
NdefRecord[] records = { record };
NdefMessage msg = new NdefMessage(records);
nfcAdapter.setNdefPushMessage(msg, this);
...

NDEF(NFC 데이터 교환 형식) 메시지에는 형식화된 데이터, URI 또는 사용자 지정 응용 프로그램 페이로드가 포함됩니다. 메시지에 응용 프로그램 이름, MIME 유형 또는 장치 소프트웨어 버전 같은 응용 프로그램 관련 정보가 포함되어 있으면 도청자에게 해당 정보가 노출될 수 있습니다.

정보 누출은 시스템 데이터 또는 디버그 정보가 출력 스트림이나 로깅 함수를 통해 프로그램을 벗어날 때 발생합니다.

true로 설정하면 axis.enableListQuery가 WSDD(Web Service Deployment Descriptor) 목록을 활성화합니다. 이 기능은 adminservice 암호와 같은 민감한 정보가 포함된 현재 시스템 구성을 노출합니다.