[웹 취약점 진단/모의해킹/해킹] 불충분한 인가

IN - 불충분한 인가

■ 점검내용

민감한 데이터 또는 기능에 접근 및 수정 시 통제 여부 점검

■ 점검목적

접근 권한에 대한 검증 로직을 구현하여 비인가자의 악의적인 접근을 차단하기 위함

■ 보안위협

접근제어가 필요한 중요 페이지의 통제수단이 미흡한 경우, 비인가자가 URL 파라미터 값 변경 등의 방법으로 중요 페이지에 접근하여 민감한 정보 열람 및 변조 가능함

■ 참고

※ 소스코드 및 취약점 점검 필요

■ 대상 : 웹 애플리케이션 소스코드

양호

접근제어가 필요한 중요 페이지의 통제수단이 적절하여 비인가자의 접근이 불가능한 경우

취약

접근제어가 필요한 중요 페이지의 통제수단이 미흡하여 비인가자의 접근이 가능한 경우

■ 조치방법

접근제어가 필요한 모든 페이지에 권한검증 로직 구현

■ 점검방법

Step 1) 비밀 게시글(또는 개인정보 변경, 패스워드 변경 등) 페이지에서 다른 사용자와의 구분을 ID, 일련번호 등의 단순한 값을 사용하는지 조사

Step 2) 게시글을 구분하는 파라미터 값을 변경하는 것만으로 다른 사용자의 비밀 게시글
(또는 개인정보 변경, 패스워드 변경 등)에 접근 가능한지 확인

■ 보안설정방법

* 접근제어가 필요한 중요 페이지는 세션을 통한 인증 등 통제수단을 구현하여 인가된 사용자 여부를 검증 후 해당 페이지에 접근할 수 있도록 함

* 페이지별 권한 매트릭스를 작성하여 접근제어가 필요한 모든 페이지에서 권한 체크가 이뤄지도록 구현하여야 함

■ 조치 시 영향 : 일반적인 경우 영향 없음