프로세스 검증 누락 / 불충분 인가 / 불충분 인증

 

---

1. 프로세스 검증 누락

2. 인증과 인가

3. 불충분한 인증

4. 불충분한 인가

---

※ 개인적인 공부를 위해 작성하였습니다. 이 글을 참고하여 허가되지 않은 곳에 사용하지 마시고 법 적인 문제가 생길 시 책임지지 않습니다.

※ 잘못된 정보가 있을 경우에는 댓글 혹은 방명록을 통해서 알려주시면 바로 수정하도록 하겠습니다!

 

1. 프로세스 검증 누락

 - 프로세스 검증 누락은 중요 웹 페이지 기능에서 클라이언트 측 검증이 미흡하여 비인가자가 비 정상적인 방법으로 접근이 가능할 때 생기는 취약점을 말함

 - 사용자가 사용하지 않거나 입력했던 값들이 서버에서 저장이 되어야 하지만, 서버에서 값을 저장하지 않아 검증하지 않을 때 프로세스 검증 누락을 의심할 수 있음

(ex. 회원 가입시 프로세스 누락으로 중복 가입이 가능, 결제 값 조작을 통해 부당 이득 획득이 가능 등)

 

---

 

2. 인증과 인가

2.1. 인증(Authentication)

 - 시스템 접근 시, 등록된 사용자인지에 대한 여부를 확인하는 것

 - 사용자가 자기 자신이 어떤 권한의 사용자인지 사실 여부를 확인하는 것

 - 로그인, 사용자 식별 등이 있음

 

2.2. 인가(Authorization)

 - 접근 후, 인증된 사용자에게 권한을 부여하는 것

 - 권한에 따라 사용 가능한 기능, 접근 가능한 페이지가 제한 됨

 - 사용자 등급(일반/담당자/관리자)에 따라 권한 식별

 - 인증된 사용자의 요청이 권한에 따라 허가되는지 아닌지를 결정하기 위해 사용자에게 권한을 부여하는 것

 

---

 

3. 불충분한 인증

3.1. 불충분한 인증이란?

 - 민감한 데이터에 취약한 인증 메커니즘이 구현되어 있을경우 발생되는 취약점

 - 인증 기능은 구현되어 있으나 추측 가능한 패스워드, 취약한 인증 프로세스로 인해 우회하거나 무력화하여 접근할 수 있는 취약점을 말함

 

3.2. 취약점 점검 방법

 1. 추측 가능하 아이디/패스워드를 입력하여 로그인이 가능한지 혹은 초기 패스워드를 사용하는지, 2차 인증을 수행하는 지에 대해서 확인

 2. 개인 정보 및 패스워드 수정 기능의 페이지에 접근 전 본인 인증에 대한 재 인증을 하고 있는지 확인

 

3.3. 대응 방안

 - 정책 기준에 맞는 패스워드를 구현하게 하도록 하며, 취약한 아이디, 패스워드 찾기, 초기화 기능 사용을 자제

 - 개인 정보 및 패스워드 수정 페이지와 같은 중요 정보를 표시하는 페이지에서 본인 인증을 재확인하는 로직을 구현하여 중요정보에 접근할 수 있는 페이지마다 검증을 진행

 - 2차 인증 수단(ARS, SMS 등)기반, 인증서 기반, One Time Password 기반 등을 통해 보안을 진행하고 공격자로 하여금 고려 사항을 만들어주어 조치하기 위함

 

---

 

4. 불충분한 인가

4.1. 불충분한 인가란?

 - 중요 기능 또는 데이터 접근 시 사용자 권한에 따른 접근 통제를 두지 않는 취약점

 - 접근 권한에 대한 인증 프로세스 및 올바른 접근 통제 로직이 구현되어 있지 않아 다른 사용자의 민감 정보 혹은 인가되지 않은 페이지에 접근할 수 있는 취약점

 

4.2. 취약점 점검 방법

 1. 개인 정보 수정 및 패스워드 수정 기능의 페이지에서 다른 사용자와의 구분을 아이디, 일련번호 등의 단순한 값을 사용하는지 확인

 2. 다른 사용자와 구분하는 값을 변경하는 것만으로도 타 사용자의 개인 정보, 패스워드에 접근 가능한지 확인

 

4.3. 대응 방안 

 - 중요 기능 접근 시, 2차 인증 프로세스를 구현하고, 세션 관리와 같은 메커니즘을 구현하여 사용자 권한을 식별 및 인가된 사용자 요청을 관리

 - 페이지 별 권한 매트릭스를 작성, 페이지에 부여된 권한의 타당성을 체크하고 매트릭스를 기준으로 전 페이지에서 권한 체크가 이루어지도록 구현