인증 우회 공격

인증 우회 공격

인증 우회 공격은 다양한 형태가 있습니다. 예를 들어보겠습니다.

(ex)

admin.test.com 도메인 내 서비스를 이용할 때 서비스 내 권한은 4가지가 있습니다.

Admin(관리자): 사용 가능권한은 "가 나 다 라"

A(사용자): 사용 가능권한은 "가 나 다"

B(사용자): 사용 가능권한은 "나 다"

C(사용자): 사용 가능권한은 "가"

비인증(사용자): X

=> 이러한 형태의 서비스를 운영한다고 가정했을 때 다양한 인증 취약점이 발생할 수 있습니다.

=> A가 "라" 권한을 사용하는 경우: 서버쪽에서 사용자 권한을 올바르게 체크하지 않아서 발생하는 취약점

=> C가 B의 "나,다" 권한을 사용하는 경우

=> 비인증 사용자가 C의 "가" 권한을 사용하는 경우

 

취약점 항목

 

보안대책

• 인증, 권한, 제어, 확인 등의 과정을 처리하는 부분은 Javascript가 아닌 Server Side Language로 구현
• 인증이 필요한 페이지의 경우 해당 페이지 주소를 직접 입력하여 접근하지 못하도록 페이지 각각에 대하여 로그인 체크 및 권한 체크를 하도록 접근제어통제(ACL)를 수립하여 계정 권한에 맞게 접근제어 설정