Java에서 삽입 공격 처리

인젝션 공격은 SQL 또는 XXE(XML External Entity)를 사용하여 클라이언트에서 애플리케이션으로 악성 데이터를 삽입하는 공격입니다.
주입 공격은 공격자가 신원을 속이고, 기존 데이터를 변조하고, 모든 데이터를 공개하고, 데이터를 파괴하고, 관리자가 되는 등을 허용하기 때문에 예방하는 것이 중요합니다.

SQL 인젝션



공격자가 ' 또는 1=1과 같은 것을 도입하면 응용 프로그램이 데이터베이스의 데이터를 표시할 수 있습니다.


SQL 인젝션 패치



결점은 필드(accountName)가 SQL 문에 연결되어 있기 때문입니다.

String query = "SELECT * FROM user_data WHERE last_name = '" + accountName + "'";

Statement statement = connection.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE,
                        ResultSet.CONCUR_READ_ONLY);
ResultSet results = statement.executeQuery(query);


이 결함을 패치하려면 Immutable Queries, Static Queries, Parameterized Queries 또는 Stored Procedures를 사용해야 합니다. 앞의 예에서 최상의 솔루션은 매개변수화된 쿼리입니다.

final String query = "SELECT * FROM user_data WHERE last_name = ?";

try {
  PreparedStatement statement = connection.prepareStatement(query,
                    ResultSet.TYPE_SCROLL_INSENSITIVE,
                    ResultSet.CONCUR_READ_ONLY);
  statement.setString(1, accountName);
  ResultSet results = statement.executeQuery(query);
  ...
} catch (SQLException sqle) {
  ...
}


이제 SQL을 삽입하려고 하면 예외가 발생합니다.

XXE주사



XML을 수신하는 서비스가 있는 경우 누군가 로컬 리소스에 액세스하거나 원격으로 코드를 실행하거나 파일을 공개하거나 DoS 공격을 실행하기 위해 Burp Suite를 사용하여 해당 XML을 변경할 수 있습니다(using a Billion laughs attack ).



"걱정하지 마세요. 저는 REST 서비스에서 JSON을 사용합니다"라고 말할 수 있습니다. 그러나 공격자는 요청 본문의 콘텐츠 유형을 변경하고 동일한 XML을 보낼 수 있습니다. 예를 들어 다음은 Burp Suite에서 포착한 서비스 요청입니다(관련 없는 정보를 생략하기 위해 줄임표가 사용됨).

...
Content-Type: application/json
...

{"text":"test"}


Content-Type을 XML로 변경하고 페이로드를 변경하여 공격을 수행하는 것만큼 쉽습니다.

...
Content-Type: application/xml
...

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY>
  <!ENTITY xxe SYSTEM "../../">
]>
<comment>
  <text>&xxe;</text>
</comment>


이 서비스는 댓글을 게시하는 데 사용되지만 이제 서버의 디렉토리를 게시했습니다.


몇 번 시도한 후 중요한 파일의 내용(예: 암호 또는 구성)을 인쇄할 수 있습니다.

XXE 주입에 대한 패치



입력, 콘텐츠 유형의 유효성을 검사하거나 파서가 DTD(문서 유형 정의)를 무시하도록 지시할 수 있습니다. setProperty 호출을 참조하십시오.

protected Comment parseXml(String xml) throws Exception {
  JAXBContext jc = JAXBContext.newInstance(Comment.class);

  XMLInputFactory xif = XMLInputFactory.newFactory();
  xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);

  XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(XML));

  Unmarshaller unmarshaller = jc.createUnmarshaller();
  return (Comment) unmarshaller.unmarshal(xsr);
}


Spring REST Services의 경우 다음과 같이 소비 = MediaType.APPLICATION_JSON_VALUE를 지정할 수 있습니다.

@RequestMapping(method = RequestMethod.POST, consumes = MediaType.APPLICATION_JSON_VALUE, produces = MediaType.APPLICATION_JSON_VALUE)
@ResponseBody
public AttackResult createNewUser(@RequestBody String commentStr, @RequestHeader("Content-Type") String contentType) throws Exception {
        ...
}


이제 공격자는 XML을 보낼 수 없습니다.



자세한 내용은 다음을 참조하십시오. https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html

좋은 웹페이지 즐겨찾기