Java에서 삽입 공격 처리
주입 공격은 공격자가 신원을 속이고, 기존 데이터를 변조하고, 모든 데이터를 공개하고, 데이터를 파괴하고, 관리자가 되는 등을 허용하기 때문에 예방하는 것이 중요합니다.
SQL 인젝션
공격자가 ' 또는 1=1과 같은 것을 도입하면 응용 프로그램이 데이터베이스의 데이터를 표시할 수 있습니다.
SQL 인젝션 패치
결점은 필드(accountName)가 SQL 문에 연결되어 있기 때문입니다.
String query = "SELECT * FROM user_data WHERE last_name = '" + accountName + "'";
Statement statement = connection.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE,
ResultSet.CONCUR_READ_ONLY);
ResultSet results = statement.executeQuery(query);
이 결함을 패치하려면 Immutable Queries, Static Queries, Parameterized Queries 또는 Stored Procedures를 사용해야 합니다. 앞의 예에서 최상의 솔루션은 매개변수화된 쿼리입니다.
final String query = "SELECT * FROM user_data WHERE last_name = ?";
try {
PreparedStatement statement = connection.prepareStatement(query,
ResultSet.TYPE_SCROLL_INSENSITIVE,
ResultSet.CONCUR_READ_ONLY);
statement.setString(1, accountName);
ResultSet results = statement.executeQuery(query);
...
} catch (SQLException sqle) {
...
}
이제 SQL을 삽입하려고 하면 예외가 발생합니다.
XXE주사
XML을 수신하는 서비스가 있는 경우 누군가 로컬 리소스에 액세스하거나 원격으로 코드를 실행하거나 파일을 공개하거나 DoS 공격을 실행하기 위해 Burp Suite를 사용하여 해당 XML을 변경할 수 있습니다(using a Billion laughs attack ).
"걱정하지 마세요. 저는 REST 서비스에서 JSON을 사용합니다"라고 말할 수 있습니다. 그러나 공격자는 요청 본문의 콘텐츠 유형을 변경하고 동일한 XML을 보낼 수 있습니다. 예를 들어 다음은 Burp Suite에서 포착한 서비스 요청입니다(관련 없는 정보를 생략하기 위해 줄임표가 사용됨).
...
Content-Type: application/json
...
{"text":"test"}
Content-Type을 XML로 변경하고 페이로드를 변경하여 공격을 수행하는 것만큼 쉽습니다.
...
Content-Type: application/xml
...
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY xxe SYSTEM "../../">
]>
<comment>
<text>&xxe;</text>
</comment>
이 서비스는 댓글을 게시하는 데 사용되지만 이제 서버의 디렉토리를 게시했습니다.
몇 번 시도한 후 중요한 파일의 내용(예: 암호 또는 구성)을 인쇄할 수 있습니다.
XXE 주입에 대한 패치
입력, 콘텐츠 유형의 유효성을 검사하거나 파서가 DTD(문서 유형 정의)를 무시하도록 지시할 수 있습니다. setProperty 호출을 참조하십시오.
protected Comment parseXml(String xml) throws Exception {
JAXBContext jc = JAXBContext.newInstance(Comment.class);
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(XML));
Unmarshaller unmarshaller = jc.createUnmarshaller();
return (Comment) unmarshaller.unmarshal(xsr);
}
Spring REST Services의 경우 다음과 같이 소비 = MediaType.APPLICATION_JSON_VALUE를 지정할 수 있습니다.
@RequestMapping(method = RequestMethod.POST, consumes = MediaType.APPLICATION_JSON_VALUE, produces = MediaType.APPLICATION_JSON_VALUE)
@ResponseBody
public AttackResult createNewUser(@RequestBody String commentStr, @RequestHeader("Content-Type") String contentType) throws Exception {
...
}
이제 공격자는 XML을 보낼 수 없습니다.
자세한 내용은 다음을 참조하십시오. https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html
Reference
이 문제에 관하여(Java에서 삽입 공격 처리), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://dev.to/eidher/handling-injection-attacks-in-java-2d1l
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
결점은 필드(accountName)가 SQL 문에 연결되어 있기 때문입니다.
String query = "SELECT * FROM user_data WHERE last_name = '" + accountName + "'";
Statement statement = connection.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE,
ResultSet.CONCUR_READ_ONLY);
ResultSet results = statement.executeQuery(query);
이 결함을 패치하려면 Immutable Queries, Static Queries, Parameterized Queries 또는 Stored Procedures를 사용해야 합니다. 앞의 예에서 최상의 솔루션은 매개변수화된 쿼리입니다.
final String query = "SELECT * FROM user_data WHERE last_name = ?";
try {
PreparedStatement statement = connection.prepareStatement(query,
ResultSet.TYPE_SCROLL_INSENSITIVE,
ResultSet.CONCUR_READ_ONLY);
statement.setString(1, accountName);
ResultSet results = statement.executeQuery(query);
...
} catch (SQLException sqle) {
...
}
이제 SQL을 삽입하려고 하면 예외가 발생합니다.
XXE주사
XML을 수신하는 서비스가 있는 경우 누군가 로컬 리소스에 액세스하거나 원격으로 코드를 실행하거나 파일을 공개하거나 DoS 공격을 실행하기 위해 Burp Suite를 사용하여 해당 XML을 변경할 수 있습니다(using a Billion laughs attack ).
"걱정하지 마세요. 저는 REST 서비스에서 JSON을 사용합니다"라고 말할 수 있습니다. 그러나 공격자는 요청 본문의 콘텐츠 유형을 변경하고 동일한 XML을 보낼 수 있습니다. 예를 들어 다음은 Burp Suite에서 포착한 서비스 요청입니다(관련 없는 정보를 생략하기 위해 줄임표가 사용됨).
...
Content-Type: application/json
...
{"text":"test"}
Content-Type을 XML로 변경하고 페이로드를 변경하여 공격을 수행하는 것만큼 쉽습니다.
...
Content-Type: application/xml
...
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY xxe SYSTEM "../../">
]>
<comment>
<text>&xxe;</text>
</comment>
이 서비스는 댓글을 게시하는 데 사용되지만 이제 서버의 디렉토리를 게시했습니다.
몇 번 시도한 후 중요한 파일의 내용(예: 암호 또는 구성)을 인쇄할 수 있습니다.
XXE 주입에 대한 패치
입력, 콘텐츠 유형의 유효성을 검사하거나 파서가 DTD(문서 유형 정의)를 무시하도록 지시할 수 있습니다. setProperty 호출을 참조하십시오.
protected Comment parseXml(String xml) throws Exception {
JAXBContext jc = JAXBContext.newInstance(Comment.class);
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(XML));
Unmarshaller unmarshaller = jc.createUnmarshaller();
return (Comment) unmarshaller.unmarshal(xsr);
}
Spring REST Services의 경우 다음과 같이 소비 = MediaType.APPLICATION_JSON_VALUE를 지정할 수 있습니다.
@RequestMapping(method = RequestMethod.POST, consumes = MediaType.APPLICATION_JSON_VALUE, produces = MediaType.APPLICATION_JSON_VALUE)
@ResponseBody
public AttackResult createNewUser(@RequestBody String commentStr, @RequestHeader("Content-Type") String contentType) throws Exception {
...
}
이제 공격자는 XML을 보낼 수 없습니다.
자세한 내용은 다음을 참조하십시오. https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html
Reference
이 문제에 관하여(Java에서 삽입 공격 처리), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://dev.to/eidher/handling-injection-attacks-in-java-2d1l
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
...
Content-Type: application/json
...
{"text":"test"}
...
Content-Type: application/xml
...
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY xxe SYSTEM "../../">
]>
<comment>
<text>&xxe;</text>
</comment>
입력, 콘텐츠 유형의 유효성을 검사하거나 파서가 DTD(문서 유형 정의)를 무시하도록 지시할 수 있습니다. setProperty 호출을 참조하십시오.
protected Comment parseXml(String xml) throws Exception {
JAXBContext jc = JAXBContext.newInstance(Comment.class);
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
XMLStreamReader xsr = xif.createXMLStreamReader(new StringReader(XML));
Unmarshaller unmarshaller = jc.createUnmarshaller();
return (Comment) unmarshaller.unmarshal(xsr);
}
Spring REST Services의 경우 다음과 같이 소비 = MediaType.APPLICATION_JSON_VALUE를 지정할 수 있습니다.
@RequestMapping(method = RequestMethod.POST, consumes = MediaType.APPLICATION_JSON_VALUE, produces = MediaType.APPLICATION_JSON_VALUE)
@ResponseBody
public AttackResult createNewUser(@RequestBody String commentStr, @RequestHeader("Content-Type") String contentType) throws Exception {
...
}
이제 공격자는 XML을 보낼 수 없습니다.
자세한 내용은 다음을 참조하십시오. https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html
Reference
이 문제에 관하여(Java에서 삽입 공격 처리), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/eidher/handling-injection-attacks-in-java-2d1l텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)