(개발자 분들이 사용하시는 프레임워크 또는 라이브러리들이 점차 발전하며
기술적인 취약점 보다는, 구현 단계에서 보안을 신경쓰지 않았거나 실수를 하여
발생하는 취약점들이 훨씬 많아지고 있고,
그 중엣도 사용자의 권한을 확인하여 인가 여부를 결정하는 로직에서 특히나 취약점이 자주 발생한다는 것이다.
대표적으로 사용자 검증을 세션 or 토큰을 사용하지 않고 임의의 Request Header나 파라미터를 이용하여 하는 경우가 많이 발견된다.
첨언을 하자면 인가에 대한 여부 판단은 반드시 예측이 불가하며,
임의로 수정이 불가한 세션 or 토큰을 이용해야 한다.)
출처: https://tomatohj.tistory.com/59
Comments
Post a Comment