Part 5 : OWASP 2017 TOP 10 RC2 A5 - 취약한 접근 제어[Broken Access Control]

 

A5 : 취약한 접근 제어[Broken Access Control]

 

 

* 정의

취약한 접근 제어는 인증된 사용자가 수행할 수 있는 것에 대한 제한이 제대로 적용되지 않는 것을 의미합니다. 공격자는 이러한 취약점을 악용하여 사용자의 계정 액세스, 중요한 파일 보기, 사용자의 데이터 수정, 액세스 권한 변경 등과 같은 권한 없는 기능, 또는 데이터에 액세스할 수 있습니다.

 

- 관리자 페이지 노출

 

 

- SSI 삽입

 

- 부적절한 인가

 

 

---

 

* 대응방법

1. 관리자 페이지에 임의의 사용자가 접근할 수 없도록 관리자 페이지에 접근할 수 있는 권한을 가진 단말기만 접근 가능하도록 접근권한을 설정합니다. 

 

2. 웹 관리자 메뉴의 접근을 특정 네트워크 대역으로 제한하여, IP 주소까지도 인증 요소로 체크하도록 웹 관리자 사용자 인터페이스를 개발합니다. 

 

3. 관리자 인증 후 접속할 수 있는 페이지의 경우 해당 페이지 주소를 직접 입력하여 접속하지 못하도록 관리자 페이지 각각에 대하여 관리자 인증을 위한 세션을 관리합니다.

 

 4. 정보시스템(네트워크 장비,서버,응용프로그램,DB등) 및 정보보호시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제되어야 합니다. 

 

 5. 공개 인터넷망을 통하여 접속을 허용하는 주요 정보시스템의 경우 아이디, 패스워드 기반의 사용자 인증 이외의 강화된 인증수단(OTP,공인인증서 등)적용을 고려하여야 한다.

 

 

 

---

 

* 실제 사례

 

[데일리시큐] 국내 과학기술연구기관 관리자 페이지 노출 및 보안취약점 존재 관리자 페이지 무단 접속 및 악성코드 유포지로 악용될 수 있어 위험 2015년 07월 22일 수요일   국내 모 과학기술연구기관 홈페이지의 관리자 페이지가 구글에 그대로 노출되고 또 여기에 존재하는 SQL 인젝션 취약점 악의적 해커가 악용한다면 관리자 페이지에 무단 접속 및 XSS 공격, 악성코드 유포지 등으로 활용될 수 있어 신속한 보안조치가 필요한 것으로 드러났다.    출처 : http://www.dailysecu.com/?mod=news&act=articleView&idxno=10226 ;

 

그럼 Part 6로 넘어갑니당 ~

 

<PART 6>

 

Part 6 : OWASP 2017 TOP 10 RC2 A6 - 잘못된 보안 설정[Security Misconfiguration]

 

 

<지난 PART>

 

Part 4 : OWASP 2017 TOP 10 RC2 A4 - XML 외부 개체[External Entity, XXE]