프로세스 검증 누락 (주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드)

기준

취약점 설명

공격하고자 하는 페이지에 접근하여 URL에 서버의 디렉터리 구성이 노출되거나 파라미터 변조를 통해 서버의 디렉터리를 알 수 있는 경우 인증 후 접근할 수 있는데 하위 URL에 URL 변조 만을 통해 접근 가능한 경우 해당 취약점으로 판단합니다.

 

해당 취약점을 통해 서버에 권한이 없거나 인가되지 않은 기능을 도용할 가능성이 존재하는 취약점입니다.

 

공격 방법

접근하려는 인가되지 않은 URL의 직접적으로 입력하여 접근하여 공격합니다.

 

예)

URL : http://www.test.com/ 

공격 : http://www.test.com/admin/

 

위의 URL처럼 공격 URL을 접근하여 별도의 인증과정 없이 admin 페이지에 접근이 가능하다면 프로세스 검증 누락 취약점으로 판단합니다.

 

----------------------------------------------------------------------------------------------------------------------------------

 

해당 취약점은 불충분한 인증/ 인가와 비슷한 부분이 있지만 인증 / 인가 검증 과정이 존재한다 하더라도 URL 입력만을 통해 접근이 가능하다면 해당 취약점으로 판단하는 부분이 차이점입니다.