windpacer/ExperionCrawler
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
e34ec08001d55bbfcfff251f929d41411dc65abd
ExperionCrawler/issues.md
windpacer e34ec08001 fix(#4): HypertableController 테이블명/컬럼명 입력 검증 추가 
- TableName allowlist(history_table) + PostgreSQL 식별자 regex(^[a-z_][a-z0-9_]{0,62}$) 검증
- 검증 실패 시 400 BadRequest 반환
- issues.md: #4 fixed, #7/#8/#9 status 정정(실제 수정 완료), #10/#12 needs-review, #16/#17/#18 wont-fix

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-26 12:17:16 +09:00

9.2 KiB
Raw Blame History

ExperionCrawler 코드 이슈 목록

생성일: 2026-04-26 | 분석 모델: GLM-4.7-Flash

요약 (2026-04-26 검수 완료)

  • HIGH: 6건 → 전체 fixed
  • MED: 8건 → fixed 5 / wont-fix 1 / needs-review 2
  • LOW: 5건 → wont-fix 5

이슈 목록

# 파일 라인 심각도 분류 문제 설명 수정 방향 상태
1 src/Infrastructure/OpcUa/ExperionRealtimeService.cs 101-122 HIGH bug StartAsync 재진입 시 File.ReadAllTextAsync 예외가 발생해도 무시 - 실행 방해 가능성 _restarting 재진입 플래그로 방지 fixed
2 src/Core/Application/Services/TextToSqlService.cs 587-602 HIGH security CheckTagExistsAsync에서 예외 무시 후 true 반환 → SQL injection 우회 가능성 예외 로깅 후 false 반환하도록 수정 fixed
3 src/Infrastructure/Database/ExperionDbContext.cs 177-208 HIGH security CreateHistoryHypertableIfNotExistsAsync에서 SQL interpolation 사용 - SQL injection 가능성 NpgsqlParameter를 사용한 parameterized query로 변경 fixed
4 src/Web/Controllers/ExperionHypertableController.cs 595 HIGH security Create 메서드에서 직접 user input을 SQL 파라미터로 변환하지 않고 신뢰 - 파라미터 무결성 검증 부재 테이블명 allowlist + PostgreSQL 식별자 regex 검증 추가 fixed
5 src/Web/Controllers/ExperionControllers.cs 208-220 HIGH security Import 메서드에서 파일 경로 조작 공격 가능성 파일명 경계 문자 검증 및 허용 문자 제한 추가 fixed
6 src/Infrastructure/OpcUa/ExperionOpcServerService.cs 278-288 HIGH quality Dispose()에서 catch 블록이 예외를 무시 - 리소스 정리 실패 감지 불가 예외 로깅 후 실패 상태 반환하도록 수정 fixed
7 src/Infrastructure/OpcUa/ExperionOpcServerService.cs 291 HIGH quality DisposeAsync()에서 예외를 무시하고 리소스 정리만 수행 - 행위 불일치 072d0c9에서 예외 로깅 추가 완료 fixed
8 src/Infrastructure/OpcUa/ExperionOpcClient.cs 519 MED quality DisposeSessionAsync에서 await session.CloseAsync() 후 session.Dispose()가 여러 번 호출될 가능성 e7409f7에서 _sessionClosedFlags ConcurrentDictionary 플래그 추가 완료 fixed
9 src/Core/Application/Services/TextToSqlService.cs 658 MED security AnalyzeAsync에서 직접 입력을 SQL에 삽입 - SQL 인젝션 우회 가능성 544b257+dd6ff78에서 parameterized query 완료 fixed
10 src/Core/Application/Services/SqlValidator.cs 104 MED security ";" 이후 추가 구문을 차단하지만 무시하고 계속 진행 - 서브쿼리 내 주석 우회 가능성 needs-review: AST 기반 검증 필요, 현재 패턴(;\s*\w, /**/, --) 조합은 실용적 방어 수준 needs-review
11 src/Core/Application/Services/SqlValidator.cs 114 MED quality Regex.IsMatch(pattern, RegexOptions.Singleline)에서 모든 줄바꿈 문자를 포함 - 예상치 못한 패턴 검출 wont-fix: .\n까지 매칭해야 멀티라인 SQL injection 차단 가능 — 보안상 올바름 wont-fix
12 src/Core/Application/Services/KoreanTimeRangeExtractor.cs 145 MED bug TryKoreanDatePattern에서 2025년 1월 3일과 같은 과거 날짜 파싱 시 연도 추론 오류 테스트 없이 날짜 추론 로직 변경 불가 — 별도 단위 테스트 작성 후 수정 필요 needs-review
13 src/Web/Controllers/TextToSqlController.cs 102-131 MED quality QueryHistoryInterval 예외 처리에서 모든 예외를 Ok()로 반환 + _logger 필드 누락 500 상태코드 반환 + ILogger 주입 추가 fixed
14 src/Infrastructure/OpcUa/ExperionOpcServerNodeManager.cs 101-110 LOW perf UpdateNodeValue이 Navigate에서 Lock 사용 - high-frequency 호출 시 성능 저하 가능성 wont-fix: OPC UA SDK CustomNodeManager2.Lock 패턴 — SDK 요구사항 wont-fix
15 src/Web/Program.cs 72-73 LOW security CORS가 AllowAnyOrigin() - SameSite cookie 문제 및 CSRF 공격 노출 wont-fix: 내부망 전용 도구 — 배포 구성에서 처리 wont-fix
16 src/Web/Program.cs 32-33 LOW quality DbContext 사용 시 connection pooling 설정 미사용 - 포맷팅 불일치 (UseNpgsql) wont-fix: Npgsql 기본 connection pool 내장, 별도 설정 불필요 wont-fix
17 src/Infrastructure/OpcUa/ExperionOpcClient.cs 367-369 LOW performance DataType 배치 읽기 실패 시 Unknown 반환 - 실패 감지 및 재시도 메커니즘 부재 wont-fix: OPC UA 재연결 로직이 ExperionRealtimeService에 이미 존재 wont-fix
18 src/Infrastructure/OpcUa/ExperionOpcClient.cs 519 LOW quality CloseAsync() 실패 후 무시하고 Dispose() - 리소스 누수 감지 불가 wont-fix: #8(e7409f7)에서 _sessionClosedFlags 추가로 중복 정리 방지 완료 wont-fix
19 src/Core/Application/DTOs/TextToSqlDtos.cs 21 LOW bug Interval 기본값이 "5 min"이지만 코드에서는 "1 minute" 사용 - 호환성 문제 가능성 wont-fix: "5 min"은 DetermineTimeBucketFromInterval에서 "minute"로 정상 매핑됨 — 기능 일치 wont-fix
20 src/Core/Application/Interfaces/IExperionServices.cs 181 LOW quality LiveValueUpdate 표현으로 readonly record 사용 - 멀티스레드 환경에서 값 변경 감지 불가능 wont-fix: ConcurrentDictionary 값으로 record 적합, volatile 불필요 wont-fix

상세 분석

HIGH 우선순위 이슈

#1 ExperionRealtimeService.cs:120 - 재진입 예외 처리 누락

if (cfg != null)
{
    _logger.LogInformation("[Realtime] 자동 재시작 플래그 감지 — 구독 자동 시작");
    await StartAsync(cfg);  // 재귀 호출 시 예외 발생 시 Unknown
}

문제: 재진입 시 파일 읽기 예외가 발생해도 무시됨 수정: 예외 로깅 후 safe fallback 처리 추가

#2 TextToSqlService.cs:601 - 예외 무시 → SQL injection 위험

catch
{
    // 확인 실패 시 true 반환 (쿼리 실행 시 에러 처리)
    return true;
}

문제: 태그 존재 여부 확인 실패 시 억지로 true 반환 → 태그가 없는 데이터 조회 → SQL injection 우회될 수 있음 수정: 예외 로깅 후 false 반환

#3 ExperionDbContext.cs:216 - SQL interpolation

await _ctx.Database.ExecuteSqlRawAsync(
    $"SELECT create_hypertable('{tableName}', '{timeColumn}'::text, ...)");

문제: Interpolated string 사용 → SQL injection 위험 수정: NpgsqlParameter 사용 또는 매우 엄격한 식별자 검증

#4 ExperionHypertableController.cs:595 - 파라미터 검증 없음

var dbSvc = scope.ServiceProvider.GetRequiredService<IExperionDbService>();
await dbSvc.CreateHypertableAsync(createRequest);

문제: 요청 DTO는 검증되었지만 클라이언트는 JSON 생성자를 통해 직접 생성 가능 → 위조 요청 가능 수정: 클라이언트 검증 지원 또는 서버 측 DTO 검증 강화

#5 ExperionControllers.cs:212-213 - 파일 경로 조작

if (!string.IsNullOrEmpty(dto.ServerHostName) &&
    dto.FileName.StartsWith(dto.ServerHostName, StringComparison.OrdinalIgnoreCase))

문제: 파일 이름만 path traversal 검증 → 무의미한 파일 접근 방어 불가 수정: 전체 경로 점검 및 확장자 하드코딩

#6 ExperionOpcServerService.cs:286 - 예외 무시

catch { /* ignore */ }

문제: 리소스 정리 중 예외가 무시되어 문제 감지 불가 수정: 최소한 로그 기록 필요

MED 우선순위 이슈

#8 ExperionOpcClient.cs:519 - 세션 중복 해제

private static async Task DisposeSessionAsync(ISession? session)
{
    if (session == null) return;
    try { await session.CloseAsync(); } catch { /* ignore */ }
    session.Dispose();  // CloseAsync 실패 후에도 Dispose 호출
}

문제: 이미 close된 session에서 Dispose()가 호출될 경우 DuplicateOperationException 발생 가능 수정: isClosed 플래그 관리

#9 TextToSqlService.cs:658 - SQL injection

WHERE tagname = '{escapedTagName}' ...

문제: 단순히 작은따옴표 이스케이프만 수행 수정: PostgreSQL parameterized query 사용

#12 KoreanTimeRangeExtractor.cs:145 - 날짜 추론 오류

if (dt > KstToday.AddDays(1)) dt = dt.AddYears(-1);

문제: 2025년 1월 3일 (현재가 2026년 4월 26일)인 경우 올해가 아닌 작년으로 처리 → 날짜 추론 오류 수정: 경과 시간 계산 후 올바른 연도 계산

LOW 우선순위 이슈

#15 Program.cs:72-73 - CORS AllowAnyOrigin

opt.AddDefaultPolicy(p => p.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader());

문제: SameSite cookie 문제 및 CSRF 공격 노출 가능성 수정: Cross-Origin-Opener-Policy, Cross-Origin-Embedder-Policy 헤더 추가 또는 커스텀 Origin 정책

범주별 이슈 집계

분류 HIGH MED LOW
bug 1 1 0
security 4 2 0
quality 1 3 3
perf 0 0 2
tổng 6 8 5
Reference in New Issue View Git Blame Copy Permalink