불충분한 인가란?

개념

중요페이지의 통제수단이 미흡한 경우 발생하는 취약점입니다

 

발생 원인

불충분한 보안 대책으로 인해 발생합니다.

 

위험한 이유

공격자가 URL 파라미터 값 조작등의 방법으로 중요 페이지의 접근해 중요 정보 열람 및 탈취가 가능해집니다.

 

조치 방법

- 접근제어가 필요한 중요 페이지는 세션을 통한 인증 등 통제수단을 구현하여 인가된 사용자 여부를 검증 후 해당 페이지에 접근할 수 있도록 합니다.

- 페이지별 권한 매트릭스를 작성하여 접근제어가 필요한 모든 페이지에서 권한 체크가 이뤄지도록 구현하여야 합니다.

 

추가 정보

불충분한 인증은 담벼락이 허술해서 뚫리는 느낌이고 불충분한 인가는 담벼락은 단단한데 집안의 벽이 허술해서 방을 자유롭게 돌아다닐 수 있는 느낌으로 이해하고 있습니다.