항상 프로세스 검증 누락과 많이 헷가렸던 취약점이라서 이번 기회에 정리해보려고 합니다.
자신이 권한을 가지고 있는 상태에서 다른 권한이 있는 비밀글에 조회가 가능하거나 조작(수정 및 삭제)가 가능한지 확인합니다.
이를 가능하게 해주는 조작들은 아래와 같은 방법으로 점검해볼 수 있습니다.
추가적인 설명은 프로세스 검증누락을 다루면서 다시 작성해보고자 합니다.
취약점 진단가이드의 내용은 아래와 같습니다.
이상입니다.
'Penetration > WEB' 카테고리의 다른 글
[주요정보통신기반시설] 19. 세션 고정 (0) | 2023.10.25 |
---|---|
[주요정보통신기반시설] 18. 불충분한 세션 만료 (0) | 2023.10.25 |
[주요정보통신기반시설] 16. 세션 예측 (0) | 2023.10.25 |
[주요정보통신기반시설] 15. 크로스사이트 리퀘스트 변조(CSRF) (0) | 2023.10.25 |
[주요정보통신기반시설] 14. 취약한 패스워드 복구 (0) | 2023.10.25 |