인증/인가 취약점

인증

    그 사람이 맞는지 확인하는 작업

 

인가

    허락된 사람에게 어떤 권한을 부여

 

CASE

 

1. 인증 우회

 

    인증 과정은 서버에서 수행해야 하지만 클라이언트에서 인증 과정을 수행하면 문제가 생긴다.

 

2. 주석 확인

 

    소스코드에서의 주석들을 확인해본다.

 

3. 권한 우회

 

    클라이언트가 권한을 확인하는지, 서버가 권한을 확인하는지 확인해야 한다.

 

4. 게시글 읽기 및 수정 권한

 

    게시글 읽기에만 권한을 확인하고 게시글 수정에서는 확인을 안 할 수도 있다.

 

5. 불충분한 인가

 

6. 마이페이지 확인

 

    마이페이지에서 관리자의 마이페이지로 넘어갈 수 있다.

 

이외에도 다양한 케이스들이 있다.

 

대응방안

 

서버에서 세션을 통한 검증을 수행한다.