목차
1. 취약점 개요
1.1. 정의
페이지 접근을 위한 인증기능이 구현되지 않을 경우, 해커나 인가되지 않는 사용자가 페이지에 접근 및 중요 정보의 변조를 할 수 있는 취약점이다.
1.2. 보안 위협
접근제어가 필요한 중요 페이지의 통제수단이 미흡한 경우, 비인가자가 URL 파라미터 값 변경 등의 방법으로 중요 페이지에 접근하여 민감한 정보 열람 및 변조 가능하다.
2. 점검 방법
- 마이페이지 등 본인만 접근 가능한 페이지에서 다른 사용자와의 구분을 일련번호 등의 단순한 값으로 하는지 확인한다.
ex) https://example.com/mypage.html?post=111 (내 게시글)
- 일련번호가 들어가는 파라미터의 값을 변조하여 다른 사용자의 페이지(게시글 등)에 접근 가능한지 확인한다.
ex) https://example.com/mypage.html?post=112 (타인 게시글)
3. 보안 방안
- 접근제어가 필요한 중요 페이지는 세션을 통한 인증 등 통제수단을 구현하여 인가된 사용자 여부를 검증 후 해당 페이지에 접근할 수 있도록 한다.
- 페이지별 권한 매트릭스를 작성하여 접근제어가 필요한 모든 페이지에서 권한 체크가 이뤄지도록 구현하여야 한다.
References
- https://lts0606.tistory.com/551
- 주요정보통신기반시설
'Web > Hacking' 카테고리의 다른 글
| Union SQL Injection (1) | 2023.03.01 |
|---|---|
| 파일 업로드 취약점 | 악성코드 배포 | 보안 방법 (0) | 2021.08.09 |
| CSRF | XSS와 CSRF 차이점 | 보안 방법 (0) | 2021.08.09 |
| XSS | 필터링 우회 | 보안 방법 (0) | 2021.08.09 |
| Blind SQL Injection (2) | 2020.12.30 |
댓글