인증 우회: Difference between revisions

From IT Wiki
(새 문서: 분류:보안 공격 정상적인 인증 경로나 절차가 아닌 우회된 경로를 통해 인증을 거치지 않고 권한을 획득하거나 권한이 필요한 행위를...)
 
No edit summary
 
Line 17: Line 17:
** 관리자로 로그인 후 게시글 확인
** 관리자로 로그인 후 게시글 확인
* '''인증 우회'''
* '''인증 우회'''
* 관리자로 로그인하지 않았음에도 게시글 주소를 직접 입력하여 접근
** 관리자로 로그인하지 않았음에도 게시글 주소를 직접 입력하여 접근

Latest revision as of 11:11, 30 January 2022

정상적인 인증 경로나 절차가 아닌 우회된 경로를 통해 인증을 거치지 않고 권한을 획득하거나 권한이 필요한 행위를 수행하는 보안 공격을 통칭하는 말

예시[edit | edit source]

아래 예시는 보안이 극도로 취약한 사이트에 대한 예시이나, 일반적인 사이트에서도 아래와 유사한 취약점이 나오는 경우가 많음

예시1[edit | edit source]

  • 정상
    • A 사이트 접속(a.com) 시 로그인 페이지(a.com/login) 페이지로 연결된
    • 로그인 페이지에서 로그인 후 메인 페이지(a.com/main)로 이동됨
  • 인증 우회
  • A 사이트 접속 시 a.com이 아닌 a.com/main 으로 접속
  • 로그인 없이 메인 페이지 열람

예시2[edit | edit source]

  • 정상
    • 관리자로 접속 시, 관리자만 열람 가능한 게시글이 보임
    • 관리자로 로그인 후 게시글 확인
  • 인증 우회
    • 관리자로 로그인하지 않았음에도 게시글 주소를 직접 입력하여 접근