- 사용자의 권한에 따라 웹 어플리케이션의 URL 접근이 통제 되어야 하는데, 관리 미비로 관리자 페이지로 접속하거나,
권한 없는 사용자가 권한을 획득하는 것.
2. 공격 방법
2. 공격 방법
- 허가받지 않은 URL 요청.
예: 관리자 페이지 접속 시도, 파라미터 조작을 통한 권한 획득 같은 것.
- 클라이언트측에서 수행되는 자바스크립트를 통한 웹 서버의 페이지 유추
- 유추하기 쉬운 관리자 페이지 URL
3. 대응
- 명백히 허가된 페이지만 접속 가능하게 해야함.
- 웹 어플리케이션에서 컨트롤러와 비즈니스 로직에서의 제어.
- 추가적인 인증 절차.
* 참고
1. OWASP TOP 10 2013
댓글 없음:
댓글 쓰기