[Web] 프로세스 검증 누락 (PV)

프로세스 검증 누락

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 인증이 필요한 모든 페이지에 대해 유효 세션임을 확인하는 프로세스 및 주요 정보 페이지에 접근 요청자의 권한 검증 로직을 적용하여, 비인가자가 하위 URL 직접 접근, 스크립트 조작 등의 방법으로 중요한 페이지에 접근 시도 하는 것을 차단하기 위함

■ 보안 위협
- 인증이 필요한 웹 사이트의 중요(관리자 페이지, 회원정보 변경 페이지 등) 페이지에 대한 접근 제어가 미흡할 경우 하위 URL 직접 접근, 스크립트 조작 등의 방법으로 중요한 페이지에 대한 접근이 가능함

 

점검 및 조치 방법

■ 점검 및 판단 기준
- 양호 : 인증 후에 접근해야 하는 웹 사이트의 하위 URL을 로그인 하지 않고 직접 접근할 때 접근이 불가능 한 경우
- 취약 : 웹 사이트의 하위 URL을 로그인 하지 않고 직접 접근할 때 접근이 가능한 경우

■ 조치 방법
- 인증이 필요한 페이지의 경우 페이지별 권한 체크 로직 구현

■ 점검 방법
Step 1) 업무프로세스 파악
Step 2) 권한의 종류 및 범위 파악
Step 3) 페이지의 모든 기능을 수집하여 프로세스 상에 통제된 페이지에 접근이 가능한지 확인

 

■ 보안설정방법
Step 1) 우회될 수 있는 플로우를 차단하여야 하며, 페이지별 권한 매트릭스를 작성하여 페이지에 부여된 권한의 타당성을 체크한 후에 권한 매트릭스를 기준으로 전 페이지에서 권한 체크가 이루어지도록 구현하여야 함
Step 2) 인증이 필요한 모든 페이지에 대해 유효 세션임을 확인하는 프로세스 및 주요 정보 페이지에 접근 요청자의 권한 검증 로직을 적용함
Step 3) 유효 세션의 검증 및 페이지에 대한 접근 권한은 스크립트에 의존하지 말아야 하며, Server Side Script로 구현된 프로세스를 사용

 

 

ASP

 

 

JSP