방문해 주셔서 감사합니다! 항상 행복하세요! - 문의사항은 메일 또는 댓글로 언제든 연락주세요. - "해줘","답 내놔" 같은 질문은 답변드리지 않습니다. - 메일주소 : lts06069@naver.com 불충분한 인증2 16. 불충분한 인가(IN) 불충분한 인가 취약점은 페이지 접근을 위한 인증기능이 구현되지 않을 경우, 해커나 인가되지 않는 사용자가 페이지에 접근 및 중요 정보의 변조를 할 수 있는 취약점 입니다. 불충분한 인증과 비슷한 개념의 취약점 입니다. 어떤 페이지에 권한이 없는 사용자가 접근할 수 있거나 변조(수정,삭제)를 할 수 있다면 불충분한 인가 취약점이 존재한다고 할 수 있습니다. #방법1 가장 먼저 페이지에 이동을 할 때 단순한 키 값을 노출시켜 이동 하는지 확인하여야 합니다. 가령 게시판에서 게시판 목록의 세부 글 보기 기능이 단순한 숫자값을 가지고 조회하는 경우가 있겠습니다. 이러한 경우에 다른 게시글의 키 값인 숫자값을 가지고 수정 및 삭제 할 때 해당 값을 바꾸어 버리는 경우가 생깁니다. 그러므로 가급적 세부 글 보기 기.. 2021. 12. 7. 12. 불충분한 인증(IA) 불충분한 인증은, 민감한 데이터에 취약한 인증 메커니즘이 구현되어 있을 경우 발생하는 취약점 입니다. 인증 기능(로그인, 중요 페이지에 대한 2차 인증 등)은 구현하였으나 추측 가능한 패스워드, 취약한 인증 프로세스로 구현되어 있으면 해커가 이를 우회하여 정보를 탈취 할 수 있는 취약점 입니다. 해당 취약점을 대비하는 이유는, 단순한 비밀번호 입력을 통하여 쉽게 로그인을 시도 할 수 있거나, 권한이 없는 사용자가 중요 정보 페이지에 접근하여 정보를 유출하거나 변조할 수 있기 때문 입니다. #방법1 이를 대비하기 위해서는 먼저 인증이 필요한 곳에서의 비밀번호를 단순하게 입력받는 것이 아니라 특수기호가 포함된 단어로 입력을 받게 하는 것 입니다. JavaScript를 통하여 브라우저에서 1번, Java를 통.. 2021. 12. 2. 이전 1 다음
