자바 보안 안티패턴(antipattern)
Posted 2006. 11. 20. 23:5412월 마소 원고 마감이 다가와서, 오늘 또 열심히 달렸습니다. 12월 호의 주제는 "자바 보안 프로그래밍"입니다. 흔히 C/C++ 프로그램에만 보안 문제가 있을 것이라고 생각하는데, 자바 프로그램도 C처럼 버퍼 오버플로나 포맷 스트링 버그는 없어도 다른 유형의 보안 문제들이 존재하고 있습니다. 실제로 자바원(JavaOne) 2006에서 Secure Coding Antipatterns: Avoiding Vulnerabilities라는 세션이 열리기도 하였습니다.
이번 마소 원고는 이 자바원 세션에 소개된 예제를 중심으로 자바 프로그램에는 어떤 보안 문제가 있고 어떻게 해결해야 할지를 다루고 있습니다. 사실 새로운 이야기는 별로 없고, 주로 자바원에서 다루었던 내용을 조금 더 상세히 설명하는 방식으로 했습니다.
자바 보안 안티패턴
[1] 객체가 불변(immutable)한다고 가정한다.
[2] 신뢰하지 못하는 출처(source)에 기초하여 보안 검사를 한다.
[3] 슈퍼 클래스의 변화를 무시한다.
[4] 입력 값 검사(input validation)를 하지 않는다.
[5] public static 필드를 잘못 사용한다.
[6] 생성자에서 발생한 예외(exception)가 객체를 파괴할 것이라 믿는다.
각각의 자세한 내용은 마소 12월 호에서 만나요 :) 미리 궁금하신 분은 웹으로 제공되는 자바원 세션을 직접 들어보시면 됩니다.
- Filed under : 카테고리 없음