[Web] 불충분한 인가 (IN)
- 취약점 점검/웹(Web)
- 2021. 7. 20.
불충분한 인가
취약점 개요
■ 위험도
- 상
■ 점검 목적
- 접근 권한에 대한 검증 로직을 구현하여 다른 사용자가 민감한 정보나 인증이 필요한 페이지의 접근을 차단하기 위함
■ 보안 위협
- 중요 정보 페이지 접근을 위한 인증 로직이 구현되지 않을 경우, 비인가 사용자의 페이지에 접근 및 중요 정보의 열 및 변조가 가능함
점검 및 조치 방법
■ 점검 및 판단 기준
- 양호 : 중요 정보 페이지 접근 시 추가 인증을 하는 경우
- 취약 : 중요 정보 페이지의 파라미터 변경으로 타인의 정보를 열람 및 수정이 가능한 경우
■ 조치 방법
- 중요 정보 페이지의 추가 인증 로직 구현
■ 점검 방법
Step 1) 비밀 게시글(또는 개인 정보 수정, 패스워드 변경 등) 페이지에서 다른 사용자와의 구분을 ID, 일련번호 등의 단순한 값을 사용하는지 조사
Step 2) 게시글을 구분하는 인수 값을 변경하는 것만으로 다른 사용자의 비밀 게시글(또는 개인정보변경, 패스워드 변경 등)에 접근 가능한지 확인
■ 보안설정방법
Step 1) 민감한 중요 데이터에 대한 접근 페이지에서 인증을 위한 로직이 구현되지 않았다면, 세션을 통한 인증 및 사용자에게 확인을 위한 인증 값 입력을 통한 인증 절차를 구현하여 정상적인 로그인 사용자인지 또는 권한이 허용된 사용자인지 여부를 확인 후 해당 페이지에 접근할 수 있도록 함
Step 2) 페이지별 권한 매트릭스를 작성하여, 페이지에 부여된 권한의 타당성을 체크 후에 권한 매트릭스를 기준으로 하여 전 페이지에서 권한 체크가 이뤄지도록 구현하여야 함