[보안 해킹] 홈페이지 개발 보안 - URL/파라미터 변조
■ 취약점 설명
- 실행경로에 대해서 접근제어를 검사하지 않거나 불완전하게 구현하여 공격자로 하여금 값을 변조하여 중요정보에 접근 가능해지는 취약점
■ 보안대책
⑴ 중요한 정보가 있는 페이지(계좌이체 등)는 재 인증 적용
⑵ 안전하다고 확인된 라이브러리나 프레임워크(OpenSSL이나 ESAPI의 보안 기능 등)를 사용
⑶ 응용프로그램이 제공하는 정보와 기능을 역할에 따라 배분함으로써 공격자에게 노출되는 공격노출면(attack surface) 최소화
⑷ 사용자의 권한에 따른 ACL(Access Control List) 관리
■ 코드예제
- 계좌이체 시 사용자 인증을 위한 별도의 접근제어 방법이 사용되지 않고 있으며, 이는 임의 사용자의 정보를 외부에서 접근할 수 있는 코딩
- 계좌이체시 username, password를 입력받아 세션으로부터 credential을 읽어들여 사용자 재인증 수행 거치도록 코딩
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 개발 보안 - 불충분한 세션관리 (0) | 2016.10.31 |
|---|---|
| [보안 해킹] 홈페이지 개발 보안 - 취약한 계정 생성 허용 (0) | 2016.10.28 |
| [보안 해킹] 홈페이지 개발 보안 - HTTP 응답분할 (0) | 2016.10.26 |
| [보안 해킹] 홈페이지 개발 보안 - LDAP 인젝션 (0) | 2016.10.25 |
| [보안 해킹] 홈페이지 개발 보안 - 버퍼 오버플로우 (0) | 2016.10.25 |