말 그대로 파라미터 변조 취약점
주의할 점
폼 페이지 → 액션 페이지일때
폼 페이지에서 검증하면 안됨
넘어갈때 버프스위트에서 파라미터를 변조할 수 있기 때문에 폼페이지에서 하면 의미가 없어짐(둘 다 하면 더 좋음)
공격 범위
무단 수정/삭제/열람
취약점 확인 방법
파라미터를 없는 값으로 줘서 id 값이 더미값으로 처리되는지 확인
유형별 공격 위험성
1. 사용자 id값을 받는 경우(id=admin)
id를 유추해야하므로 2에 비해 피해 작음
2. seq값을 입력 받는 경우(idx=300)
개인정보 노출 피해가 굉장이 큼
대응방안
1. 사용자 입력값에 대한 검증
사용자 입력값을 받아야하는 경우
2. 세션을 통한 처리
굳이 사용자 입력값을 받지 않아도 되는 경우
'Security > 취약점분석' 카테고리의 다른 글
| [BackDoor] 섹션10. URL 접근 제한 미흡 취약점 (0) | 2024.05.23 |
|---|---|
| [BackDoor] 섹션8. 파일 업로드 취약점 (0) | 2024.05.23 |
| [BackDoor] 섹션7. 파일 업로드 취약점 (0) | 2024.05.23 |
| [BackDoor] 섹션6. CSRF(XSRF) (0) | 2024.05.23 |
| [BackDoor] 섹션5. XSS (0) | 2024.05.23 |
