자동화 공격과 프로세스 검증 누락

자동화 공격

 

개념

DoS같은 자동화 공격으로 웹 APP 자원이 고갈되는 취약점입니다.

 

발생 원인

불충분한 보안 대책으로 인해 발생합니다.

 

위험한 이유

자동화 공격을 통제하지 않을 경우 계정이 탈취될 수 있고, 웹 APP 자원을 고갈시켜 서비스 장애를 일으킬 수 있습니다.

 

조치 방법

- 로그인 시도, 게시글 등록, SMS 발송 등에 대한 사용자 요청이 일회성이 될 수 있도록 캡차 등 일회성 확인 로직을 구현하여야 합니다.

- 자동화 공격을 시도하면 짧은 시간에 다량의 패킷이 전송되므로 이를 공격으로 감지하고 방어할 수 있는 IDS/IPS 시스템을 구축하여야 합니다.

 

 

프로세스 검증 누락

개념

인증이 필요한 중요페이지의 통제수단이 미흡한 경우 발생하는 취약점입니다.

 

발생 원인

불충분한 보안 대책으로 인해 발생합니다.

 

위험한 이유

관리자 페이지 같은 중요페이지에 직접 접근할 수 있습니다.

 

조치 방법

- 우회될 수 있는 플로우를 차단하여야 하며, 페이지별 권한 매트릭스를 작성하여 페이지에 부여된 권한의 타당성을 체크한 후 권한 매트릭스를 기준으로 전 페이지에서 권한 체크가 이뤄지도록 구현해야 합니다.

- 인증이 필요한 모든 페이지에 대해 유효 세션임을 확인하는 프로세스 및 주요 정보 페이지에 접근 요청자의 권한 검증 로직을 적용합니다.

- 유효 세션의 검증 및 페이지에 대한 접근 권한을 Client Side Script에 의존할 경우 사용자가 임의로 수정할 수 있으므로 Server Side Script로 구현된 프로세스를 사용합니다.