불충분한 인가 (IN)

Web/Hacking

09337 2022. 12. 11. 04:03

목차

1. 취약점 개요

2. 점검 방법

3. 보안 방안

1. 취약점 개요

페이지 접근을 위한 인증기능이 구현되지 않을 경우, 해커나 인가되지 않는 사용자가 페이지에 접근 및 중요 정보의 변조를 할 수 있는 취약점이다.

접근제어가 필요한 중요 페이지의 통제수단이 미흡한 경우, 비인가자가 URL 파라미터 값 변경 등의 방법으로 중요 페이지에 접근하여 민감한 정보 열람 및 변조 가능하다.

- 마이페이지 등 본인만 접근 가능한 페이지에서 다른 사용자와의 구분을 일련번호 등의 단순한 값으로 하는지 확인한다.
ex) https://example.com/mypage.html?post=111 (내 게시글)

- 일련번호가 들어가는 파라미터의 값을 변조하여 다른 사용자의 페이지(게시글 등)에 접근 가능한지 확인한다.
ex) https://example.com/mypage.html?post=112 (타인 게시글)

- 접근제어가 필요한 중요 페이지는 세션을 통한 인증 등 통제수단을 구현하여 인가된 사용자 여부를 검증 후 해당 페이지에 접근할 수 있도록 한다.

- 페이지별 권한 매트릭스를 작성하여 접근제어가 필요한 모든 페이지에서 권한 체크가 이뤄지도록 구현하여야 한다.