불충분한 인가-강제 게시글수정

불충분한 인가란?

프로그램이 모든 가능한 실행경로에 대해서 접근제어를 검사하지 않거나 불완전하게 검사하는 경우, 공격자는 접근 가능한 실행경로를 통해 정보를 유출할 수 있는 취약점

예시

-무료 회원의 계정으로 유료 회원 전용 게시판 접근 가능

-학생 회원이 선생님 회원 게시판 접근 가능

-기타 등등

부여된 권한보다 높은 권한이 요구 되는 기능에 접근이 가능한 경우.

 

위 사진은 인증과 인가의 차이다. 즉 부적절한 인증은 추가적인 인증(2차 인증)이 없거나 인증이 필요한 곳에 인증이 없는 것. 부적절한 인가는 쉽게 권한 상승으로 생각하자 낮은권한에서 높은권한으로(사용자->관리자) 이것이 부적절한 인가이다.

 

 

1. 강제 게시글 수정

1. 게시판에 글을 올려보자.

 

 

2. 방금 올린 게시글 다시 들어가 글 수정으로 가자.

 

3.그리고 프로시로 요청값을 잡은 후 쓰기를 누르자.

4.그러면 해당 요청값에 22라는 값이 있다. 보아하니 DB(DATABASE)에 저장된 게시글에 번호인 것 같다. 이 값을 21로 바꿔 보자.

5. 그 결과 해당 21의 게시글이 강제로 수정이 된 것을 알 수 있다.