1. 불충분한 인증(IA)
2. 취약점 개요
불충분한 인증은 중요정보(개인정보 변경, 계정 설정, 결제 정보 등)를 처리하는 페이지에 대해 인증 절차가 충분히 적용되지 않을 경우, 권한이 없는 사용자가 해당 페이지에 접근할 수 있는 취약점을 말하며, 이로 인해서 공격자는 정상적인 인증 과정 없이 중요정보 페이지에 직접 접근해 개인정보를 열람하거나 임의로 조작이 가능하다. 특히나 URL 직접 접근, 세션 검증 미흡, 추가 인증 절차 누락 등의 경우 해당 취약점이 쉽게 발생한다.
※ 이 취약점은 OWASP Top 10에 Broken Access control에 해당됨
3. 점검 결과
1) 중요정보(개인정보 변경 등) 페이지 접근 시 재인증 여부 확인
4. 권고사항
1) 중요정보(예: 개인정보 변경 등)를 표시하거나 수정하는 페이지에서는 사용자의 본인 인증을 재확인하는 로직을 구현하여야 함
2) 사용자가 인증 후 접근 가능한 모든 페이지에 대해, 승인된 사용자인지를 페이지마다 검증하여야 함
3) 접근통제 정책을 구현하는 코드는 구조화·모듈화하여 관리되어야 함
4) 접근제어가 필요한 모든 페이지에 로그인 체크 및 권한 체크 등 통제 수단을 적용해야하며 특히, 하나의 프로세스가 여러 개의 페이지나 모듈로 구성되어 있는 경우, 권한 검증 누락을 방지하기 위해 공통 모듈을 사용하도록 권장함
5) 인증 및 접근제어 로직을 Client Side Script(Javascript, VBScript 등)를 사용하면 사용자가 임의로 수정할 수 있으므로, 반드시 Server Side Script(PHP,ASP,JSP 등)에서 인증 및 필터링 과정을 수행하도록 구현해야 함
'Web 취약점' 카테고리의 다른 글
| 웹 해킹 기본 (0) | 2026.01.07 |
|---|---|
| Web 취약점 진단 - 취약한 패스워드 복구 (0) | 2026.01.04 |
| Web 취약점 진단 - 크로스사이트 스크립팅 (0) | 2025.12.30 |
| Web 취약점 진단 - 약한 문자열 강도 (0) | 2025.12.30 |
| Web 취약점 진단 - 악성 콘텐츠 (0) | 2025.12.30 |