불충분한 인가 (주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드)

기준

취약점 설명

비공개된 글이나 접근을 막아놓은 페이지, 권한이 없는 구역에 접근이 가능한 경우 발생하는 취약점입니다.

불충분한 인증과는 다르게 본인의 권한을 ID값이나 본인의 인증값을 변조하는 것이 아니어서 본인의 권한으로 비공개된 페이지를 접근하는 경우 발생합니다.

 

예를 들어 비공개된 Q&A가 있다고 가정해보겠습니다.

이런 경우 Q&A를 작성하기 위한 접근 시 파라미터 값을 변조하여 이미 작성된 글을 수정하도록 접근이 가능한 경우에 가깝습니다.

 

위의 예를 비교하여 불충분한 인증을 설명해 보겠습니다.

위와 같은 경우가 있을 경우 글에 접근하는 것이 아닌 ID의 인증값이나 사용자 번호를 조작하여 타 사용자 계정 혹은 관리자로 로그인하거나 인증을 우회하여 접근이 가능하다면 불충분한 인증에 해당합니다.

 

이해를 돕기 위해 불충분한 인증에서 올렸던 두 가지 취약점의 설명을 다시 올려보도록 하겠습니다.

불충분한 인증

위의 사진을 보면 인증정보를 변조하여 관리자 ID를 접근하는 공격자를 그림으로 나타내 보았습니다.

예를 들어 URL이 http://www.test.com/board/edit.jsp?id=test인 페이지가 있다고 가정하겠습니다.

이런 경우 위의 URL의 마지막 부분의 id를 admin으로 바꿔주었을 때 admin으로 접근 가능할 때 admin에 대한 인증이 없는 경우로 불충분한 인증으로 포함되는 것입니다.

 

즉, 로그인과 같이 인증이 필요한 부분에 인증이 없거나 부족한 경우 불충분한 인증이라고 판단합니다.

 

불충분한 인가

위의 사진은 권한이 없는 페이지에 접근하는 공격자를 표현한 그림입니다.

예를 들어 타 사용자 혹은 관리자가 작성한 글이나 공지사항이 존재한다고 가정하겠습니다.

작성된 글이 타 사용자를 위해 공개된 글이 아닌 경우 공격자가 인증 정보를 바꾸지 않은 상태로 접근 가능하면 불충분한 인가에 포함되는 것입니다.

 

즉, 공개되지 않거나 권한이 없을 때 별 다른 인증 정보 변경 없이 접근이 가능한 경우 불충분한 인가라고 판단합니다. 

 

공격 방법

(실습할 수 있는 페이지를 찾지 못해서 설명으로 대체하겠습니다.ㅠㅠ)

위와 같은 게시판이 있다고 가정하겠습니다.

 

아래의 글을 쓴 후 수정을 할 때 글의 번호가 뜨는 경우가 있습니다.

 

그럼 파라미터 값의 글 번호를 변경하여 인가되지 않은 다른 글을 수정 혹은 삭제할 수 있다면 불충분한 인가 취약점으로 판단합니다.

 

-----------------------------------------------------------------------------------------------------------------------------

 

이외에 가능한 방법이 많지만 실제 페이지를 상대로 공격 방법을 보여드릴 순 없어 위처럼 설명으로 대체하였습니다.

 

만약 실습할 수 있는 페이지를 방명록에 남겨주신다면 나중에 수정하여 포스팅하도록 하겠습니다.

(실습할 공간을 알고 계신 분은 꼭 알려주시길 부탁드려요ㅠㅠㅠㅠㅠ)