불충분한 인증이란?

불충분한 인증

(Insufficient authentication)

 

개념

중요정보 페이지에 대한 인증 절차가 불충분하여 권한없는 사용자가 중요정보페이지에 접근할 수 있는 취약점입니다.

 

발생 원인

중요정보 페이지에 대한 인증 절차가 불충분하여 발생합니다.

 

위험한 이유

권한을 가지지않은 사용자가 중요정보페이지에 접근이 가능할 경우 임의로 조작이 가능해질 수 있습니다.

 

조치 방법

- 중요정보를 표시하는 페이지에서는 본인 인증을 재확인하는 로직을 구현하고, 사용자가 인증 후 이용 가능한 페이지에 접근할 때마다 승인을 얻은 사용자인지 페이지마다 검증하여야 합니다.

- 접근 통제 정책을 구현하고 있는 코드는 구조화, 모듈화가 되어 있어야 합니다.

- 접근제어가 필요한 모든 페이지의 통제수단(로그인 체크 및 권한 체크)을 구현해야 하며 특히, 하나의 프로세스가 여러 개의 페이지 또는 모듛로 이루어져 있을 때 권한 체크가 누락되는 경우를 방지하기 위해서 공통 모듈을 사용하는 것을 권장합니다.

- 인증 과정을 처리하는 부분에서 JS같은 Cloent SIde Script를 사용하면 사용자가 임의로 수정할 수 있으므로 PHP나 JSP같은 Server Side Script를 통하여 인증 및 필터리 과정을 수행합니다.

 

추가 정보

불충분한 인증은 담벼락이 허술해서 뚫리는 느낌이고

불충분한 인가는 담벼락은 단단한데 집안의 벽이 허술해서 방을 자유롭게 돌아다닐 수 있는 느낌으로 이해하고 있습니다.