주의사항 : 이 포스팅은 개인 학습 및 교육적 목적으로 작성되었으며, 제공하는 정보를 악용하여 불법적인 행위를 하는 것은 엄격히 금지되어 있습니다. 웹 취약점 진단은 해당 웹사이트의 소유자의 명시적인 허가 없이는 수행해서는 안되며, 웹 취약점을 발견하였을 경우 즉시 해당 웹사이트의 소유자나 관리자에게 알려야 합니다.
불충분한 인가
: 비인가자가 시스템에 접근하거나 특정 기능을 사용할 수 있는 취약점이다. 일반적으로 일반 사용자가 관리자 페이지에 접근할 수 있는 경우 등 사용자가 가진 권한을 초과하는 경우이다.
점검 절차
- 비밀 게시글(또는 개인정보 변경, 패스워드 변경 등) 페이지에서 다른 사용자와의
구분을 ID, 일련번호 등의 단순한 값을 사용하는지 확인한다. - 게시글을 구분하는 파라미터 값을 변경하는 것만으로 다른 사용자의 비밀 게시글
(또는 개인정보 변경, 패스워드 변경 등)에 접근 가능한지 확인한다.
보안 대책
- 접근제어가 필요한 중요 페이지는 세션을 이용하여 서버 측에서 인가된 사용자 여부를 검증해야 한다.
- 페이지별 권한 매트릭스를 작성하여 접근제어가 필요한 모든 페이지에서 권한 체크가 이뤄지도록 구현하여야 한다.
출처
한국인터넷진흥원(KISA) 2021년 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 (기반보호팀 이풍환) https://www.kisa.or.kr/2060204/form?postSeq=12&page=1#fnPostAttachDownload
IT 보안, 관심 있는 것을 공부합니다.