불충분한 인가2 불충분한 인가 - 일반 사용자로 공지사항 글 변조 기본적으로 일반 사용자로 접근하게 되면 공지사항의 글은 열람만 가능하고 수정 및 삭제가 불가능하도록 구현되어 있을 것이다. 하지만 여기서 제대로 된 권한 검증을 진행하지 않으면 우회하여 공지사항 글을 변조 및 삭제할 수 있다.공지사항 글에 접근하고 URL을 살펴보면 Detail 이라고 하는 페이지임을 확인할 수 있다. 여기서 보통 개발자들은 페이지를 생성할 때 형태가 비슷하다.열람 페이지는 Detail, Show수정 페이지는 Modify, Edit, Update, ForUpdate삭제 페이지는 Delete, Remove그렇기에 만약 세션 검증이 존재하지 않는다면 위의 URL을 유추하여 접근함으로써 수정 및 삭제 페이지에 접근하게 될 수 있는 것이다.해당 대상에서는 URL 주소를 Edit으로 변경하였더니 .. 2024. 6. 21. 불충분한 인가 - 파라미터 값 변조를 통해 타인의 정보 확인하기 [불충분한 인가]웹 모의해킹 시 어떠한 정보를 조회하는 패킷에서 POST 요청으로 넘버 값 등을 파라미터 값으로 넘기는 경우가 존재한다. 이번에 발견된 취약점은 등급 정보를 조회할 때 회원 번호를 파라미터 값으로 넘기는데 이러한 값을 변조했을 때 타인의 회원 정보를 열람할 수 있던 취약점이다.포인트 기능에서 등급목록을 확인하고 그에 대한 요청 패킷을 캡처했다. 이와 같이 회원 정보가 넘어갈 수 있을만한 포인트들은 전부 패킷 캡처 도구를 활용해 점검하는 것이 좋다.이와같은 POST URL 요청을 진행하고 그에 대한 응답 값을 확인하면 나에 대한 정보가 출력되는 것을 확인할 수 있었다. 이런 경우 파라미터 값을 변조한 결과를 점검해봐야 한다.넘어가는 값은 회원번호와 관련된 파라미터 값이었으며, 이러한 번호는.. 2024. 6. 21. 이전 1 다음
