정의
인증/인가된 사용자가 접근 가능한 페이지에 대해 접근 제한이 존재하지 않거나 우회 포인트가 존재하여 접근 가능한 것
인증과 인가
인증 Authentication
인증된 사용자인지 확인하는 과정
인가 Authorization
특정 사용자가 해당 권한이 있는지 확인하는 과정
공격원리
파라미터 변조와 동일
특정 페이지에 접근만 하면 됨(→ 공격인지 분별하기 어려움)
페이지명(URL)을 유추해야함(수동적, 자동화 도구 이용(사전식 대입))
일반적으로 관리자 페이지를 유출하고자 함
네이밍 패턴을 통해 유추
대응 방안
접근제한 설정
세션이 있는지, 있다면 id가 admin인지 확인
'Security > 취약점분석' 카테고리의 다른 글
| [BackDoor] 섹션9. 파라미터 변조 취약점 (0) | 2024.05.23 |
|---|---|
| [BackDoor] 섹션8. 파일 업로드 취약점 (0) | 2024.05.23 |
| [BackDoor] 섹션7. 파일 업로드 취약점 (0) | 2024.05.23 |
| [BackDoor] 섹션6. CSRF(XSRF) (0) | 2024.05.23 |
| [BackDoor] 섹션5. XSS (0) | 2024.05.23 |
