세션 고정1 [Secure]_#05_[ 불충분한 인가, 불충분한 세션 만료, 세션 고정, 자동화 공격, 프로세스 검증 누락, 관리자 페이지 노출] 점검 내용 : 민감한 데이터 또는 기능에 접근 및 수정 시 통제 여부 점검. 점검 목적 : 접근 권한에 대한 검증 로직을 구현하여 비인가자의 악의적인 접근을 차단하기 위함. 보안 위협 : 접근제어가 필요한 중요 페이지의 통제수단이 미흡한 경우, 비인가자가 URL 파라미터 값 변경 등의 방법으로 중요 페이지에 접근하여 민감한 정보 열람 및 변조 가능함. ex) VIDEO 1 취약점을 이용한 공격 --> 1. url 변조 55010을 55011로 바꾸어 관리자 글쓰기 페이지로 이동하였다. --> 그렇다면, 공격자는 어쩌다 55010을 55011로 바꾸어볼 생각을 했을까? --> 아마 공격자는 해당 사이트의 소스를 살펴보고, 사이트에 들어가볼 수 있는 곳을 최대한 많이 들어가본 후, 그 .. 2021. 9. 25. 이전 1 다음 728x90
