반응형
전자금융기반시설 취약점 분석.평가 및 ISMS-P 인증을 위해 모의해킹 프로젝트를 나가다보면, 인증(불충분한 이용자 인증)과 인가(부적절한 인가 여부)가 헷갈리는 경우가 많아 이를 정리하기 위해 포스팅을 하게 되었습니다.
인증 (Authentication)
인증은 어떤 개체(사용자 또는 장치)의 신원을 확인하는 과정을 나타내며, 보통 특정 인증 요소(아이디, 패스워드, 핸드폰 인증)를 증거로 제시하여 자신을 인증합니다.
인가 (Authorization)
인가는 어떤 리소스에 접근하거나 동작을 수행할 수 있는지 검증하는 과정을 나타내며, 접근 권한을 확인하는 과정이라고 이해하시면 좋습니다.
상황 별 정답 (답이 틀릴 수 있음)
1. 원래 접근은 가능하나 인증이 필요한 페이지에 강제 접근 시 해당 페이지 접근 가능
예시 : 내정보 변경 > 기존 비밀번호 입력 > 내 정보 변경 페이지로 프로세스가 동작할 때 내 정보 변경 페이지의 URL에 직접 접속을 통한 접근
정답 : 인증 관련 취약점
2. 원래 접근이 불가능한 페이지에 강제 접근 시 해당 페이지 접근 가능
예시 : 일반 사용자 권한에서 관리자 권한으로만 접근 가능한 URL에 직접 접속을 통한 접근
정답 : 인가 관련 취약점
앞으로도 헷갈리는 상황이 생긴다면 "상황 별 정답"에 추가하도록 하겠습니다.
'Hack > Web' 카테고리의 다른 글
| CORS(Cross-Origin Resource Sharing) (0) | 2022.06.22 |
|---|---|
| CSP(Content-Security-Policy) Bypass (0) | 2022.06.15 |
| Server Side XSS (Dynamic generated PDF) (0) | 2022.05.18 |
| [CVE-2017-5487] WordPress REST API 1-Day 취약점 (0) | 2022.05.17 |
| postman을 활용한 API 진단 시 유용한 스크립트.zip (0) | 2022.05.11 |
댓글