인증 우회

From IT Wiki
Revision as of 11:11, 30 January 2022 by 박달 (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

정상적인 인증 경로나 절차가 아닌 우회된 경로를 통해 인증을 거치지 않고 권한을 획득하거나 권한이 필요한 행위를 수행하는 보안 공격을 통칭하는 말

예시

아래 예시는 보안이 극도로 취약한 사이트에 대한 예시이나, 일반적인 사이트에서도 아래와 유사한 취약점이 나오는 경우가 많음

예시1

  • 정상
    • A 사이트 접속(a.com) 시 로그인 페이지(a.com/login) 페이지로 연결된
    • 로그인 페이지에서 로그인 후 메인 페이지(a.com/main)로 이동됨
  • 인증 우회
  • A 사이트 접속 시 a.com이 아닌 a.com/main 으로 접속
  • 로그인 없이 메인 페이지 열람

예시2

  • 정상
    • 관리자로 접속 시, 관리자만 열람 가능한 게시글이 보임
    • 관리자로 로그인 후 게시글 확인
  • 인증 우회
    • 관리자로 로그인하지 않았음에도 게시글 주소를 직접 입력하여 접근