인증 / 인가
Athentication(인증) : 그 사람이 본인이 맞는지 확인하는 작업
- 인증 과정에서 일어나는 취약점
- 인증을 무시하는 공격
Athorization(인가) : 특정 권한을 부여하는 것
- 원래는 못해야 하는 걸 하는 것
인증 취약점 케이스
1. 쿠키를 통해 인증하는 케이스(클라이언트 측 정보)
2. 직접 접근
3. 파라미터 응답 값 변조
4. 인증 횟수 제한 없음(로그인 페이지, 마이페이지 등)
*계정 탈취당했을 경우 마이페이지에서도 인증 횟수를 제한 없이 두면 위험
인가 취약점 케이스
1. 파라미터 변조
2. 직접 접근
3. 주석으로 접근 제한(css display:none, html 주석 등)
4. 인가 체크를 클라이언트 측에서 하고 있음(자바스크립트로 검증)
5. guessing 공격(보이지 않는 파일 추측해서 페이지로 직접접근)
