웹 해킹/인증 인가 취약점 (1) 썸네일형 리스트형 불충분한 인증, 인가 취약점이란? (접근 통제 용어, 대표적인 케이스) 먼저 용어 정리부터 해보자 접근 통제는 식별 > 인증 > 인가 3단계를 원칙으로 한다. 여기서 확인할 취약점은 인증과 인가다. 식별 : 본인이 누구라는 것을 시스템에 밝히는 것 인증 : 본인임을 주장하는 그 사용자가 본인이 맞다고 시스템이 인증해주는 것 (신원 확인) 인가 : 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 과정 불충분한 인증 중요 페이지에 접근 시 인증 구현이 미흡하게 된 경우이다. 인증 취약점 대표 케이스 1. Cookie를 통한 인증 쿠키는 클라이언트 측에 저장된 정보이기 때문에 공격자가 자바스크립트를 이용해서 쉽게 탈취 가능하다. 2. 프로세스 건너뛰기 본인인증을 하는 페이지에서 자주 발생한다. 예를 들어 회원가입 절차가 아래와 같을 경우 (1) 약관 동의 (2.. 이전 1 다음
