# 접근 통제 취약점 공격
- 접근 통제가 잘 이루어지지 않으면 공격자가 다른 사용자나 관리자 권한이 필요한 리소스에 접근할 수 있게 된다.
+ 접근 통제가 취약한 경우
- URL이나 파라미터를 조작하여 다른 사용자의 리소스에 접근하거나 허용되지 않은 기능을 실행할 수 있는 경우
- 적절한 인증 및 인가 과정을 거치지 않고 관리자 페이지에 접근할 수 있는 경우
- 디렉터리 트래버설 취약점과 같이 웹 디렉터리 경로를 벗어난 호스트 내부 경로의 리소스에 접근할 수 있는 경우
+ 안전하지 않은 직접 객체 참조 (IDOR 공격)
(안전하지 않은 직접 객체 참조, Insecure Direct Reference )
: 공격자가 요청메시지의 URL이나 파라미터를 변경하여 허용되지 않은 기능을 실행하거나
다른 사용자의 리소스에 접근할 수 있는 공격
- 서버 쪽에서 입력값 검증을 소홀히 하면 취약해지기 쉽다.
+ IDOR 공격 대응
- 웹 애플리케이션은 사용자로부터 전달되는 모든 입력 값을 신뢰해서는 안됨
- 적절한 입력 값 검증을 거쳐야함
- 클라이언트로부터 전달받을 필요가 없는 정보는 웹 애플리케이션 내부에서 직접 설정하여
불필요한 파라미터 조작 가능성을 차단해야 함
+ 관리자 페이지 인증 우회
+ 디렉터리 트래버셜 취약점 공격
+ 대응 방안
'about Security > 웹보안과 해킹' 카테고리의 다른 글
| # 알려진 취약점 공격 (0) | 2020.11.29 |
|---|---|
| # XXE (0) | 2020.11.29 |
| [웹해킹 실습] # 민감한 데이터 노출 (개념 + 실습) (0) | 2020.11.22 |
| [웹해킹 실습] # 파일 업로드 공격 (0) | 2020.11.15 |
| [웹해킹] # 파일 업로드 (0) | 2020.11.15 |
댓글