URL 접근 제한 미흡 취약점 (Failure to Restrict URL Access Vulnerability)
인증과 인가에 대해
-
인증 (Authentication) : 인증된 사용자 인지 확인하는 과정 (예: 로그인 유/무)
-
인가 (Authoriztion) : 특정 사용자가 해당 작업에 대한 권한이 있는지 확인하는 과정 (예 : 일반 사용자와 관리자, 관리자 페이지)
URL 접근 제한 미흡 취약점 공격 원리
-
URL 페이지 명을 유추하여 접근하게 되며 수동적 유추 또는 자동화를 통해 공격하게 된다.
-
웹 사이트의 네이밍 패턴을 파악하여 접근한다.
-
파라미터 변조 취약점과 같이 별도의 공격 페이로드가 있지 않으며, 공격 판별이 어렵다는 점이 있다.
대응 방안
-
(인증 대응 방안) 세션의 id 값을 체크하여 id 값이 비어있다면 접근하지 못하도록 설정하는 것이 좋다.
-
(인가 대응 방안) 세션에서의 특정 권한 값을 통해 지정한 권한이 아니라면 접근하지 못하도록 설정하는 것이 좋다.
