불충분한 인증/인가 취약점

웹 애플리케이션에서 개인정보 수정페이지, 통합 로그인 같은 곳에서 사용자

인증이 미흡할 경우 공격자가 파라미터로 전달되는 값을 수정하여 사용자 도용,

개인정보 노출 문제가 발생할 수 있는 취약점.

 

프록시툴을 활용해 파라미터 변조하여 인증을 우회하는 방식이 주로사용됨.

혹은 프록시에서잡은 소스코드의 일부를 삭제.

 

불충분한 인증 vs 인가 차이점

인증은 회원가입 등 시스템에 신원을 밝힐 때 우회/변조가 가능하고

인가는 권한 부여로 잘못된 권한을 부여하여 무분별한 접근이 가능하게 되는 것.