인증 우회: Difference between revisions
From IT Wiki
(새 문서: 분류:보안 공격 정상적인 인증 경로나 절차가 아닌 우회된 경로를 통해 인증을 거치지 않고 권한을 획득하거나 권한이 필요한 행위를...) |
No edit summary |
||
| Line 17: | Line 17: | ||
** 관리자로 로그인 후 게시글 확인 | ** 관리자로 로그인 후 게시글 확인 | ||
* '''인증 우회''' | * '''인증 우회''' | ||
* 관리자로 로그인하지 않았음에도 게시글 주소를 직접 입력하여 접근 | ** 관리자로 로그인하지 않았음에도 게시글 주소를 직접 입력하여 접근 | ||
Latest revision as of 11:11, 30 January 2022
정상적인 인증 경로나 절차가 아닌 우회된 경로를 통해 인증을 거치지 않고 권한을 획득하거나 권한이 필요한 행위를 수행하는 보안 공격을 통칭하는 말
예시[edit | edit source]
아래 예시는 보안이 극도로 취약한 사이트에 대한 예시이나, 일반적인 사이트에서도 아래와 유사한 취약점이 나오는 경우가 많음
예시1[edit | edit source]
- 정상
- A 사이트 접속(a.com) 시 로그인 페이지(a.com/login) 페이지로 연결된
- 로그인 페이지에서 로그인 후 메인 페이지(a.com/main)로 이동됨
- 인증 우회
- A 사이트 접속 시 a.com이 아닌 a.com/main 으로 접속
- 로그인 없이 메인 페이지 열람
예시2[edit | edit source]
- 정상
- 관리자로 접속 시, 관리자만 열람 가능한 게시글이 보임
- 관리자로 로그인 후 게시글 확인
- 인증 우회
- 관리자로 로그인하지 않았음에도 게시글 주소를 직접 입력하여 접근
