seKUrity 강의

불충분한 인증,인가.pptx

2.10MB

세쿠리티에서 첫 수업을 진행하였다.

작년까지는 수업을 듣는 입장이었는데 올해 처음으로 내가 직접 수업이라는 것을 해보았다.

 

 

HTTP 메소드에 대해 간단한 설명 후 GET 메소드 설명, 특징 및 종류 소개

POST 메소드에 대해 설명 및 특징 설명

GET 메소드와 POST 메소드의 차이점에 대해 설명

불충분한 인증과 인가에 대해 설명하기 전 인증과 인가에 대해 먼저 설명한 후 인증 및 인가에 대한 예시를 들어 설명

이후 불충분한 인증과 인가에 대한 설명 진행 및 예시를 통해 설명

다음으로 파라미터 변조 취약점에 대해 설명

파라미터가 무엇인지 먼저 설명해준 뒤 파라미터 변조란 무엇인지 그림을 통해 자세히 설명한 후 파라미터 변조 취약점의 원인은 무엇인지 설명

관리자가 서버에 로그인을 할 경우 위에 나와있는 파라미터 값이 전달이 된다는 시나리오를 만들었음.

관리자가 아닌 다른 사용자가 서버에 로그인을 할 경우는 위와 같은 파라미터 값이 전달됨.

이때 사용자가 파라미터 값 중 auth라는 권한을 user에서 admin으로 바꿔줄 경우 해당 서버에서 관리자처럼 활동할 수 있다고 설명 

2번째 시나리오로 쇼핑몰 페이지에서 고객이 주문할 때 위와 같은 파라미터가 전달된다고 가정함.

이때 고객이 전달되는 파라미터 값 중 가격과 수량을 변조시키면 그 상대 그대로 쇼핑몰 서버로 들어가 07이라는 제품 100개를 무료로 구매할 수 있음을 설명

3번째 시나리오는 게시글을 작성할 수 있는 페이지에 사용자 2명이 각각 자신들의 게시글에서만 작성 및 수정, 삭제가 가능하다고 가정함.

이때 사용자 2가 파라미터 변조를 통해 1번 게시글을 수정 및 삭제할 수 있는 것도 파라미터 변조 취약점이라고 설명

마지막 예시는 URL에 num=3처럼 값이 나와 있는 경우 이 부분을 변조할 수 있다고 설명

 

num= 이후에 아무 숫자를 넣어줄 경우 해당 숫자에 해당되는 게시글을 볼 수 있는 것이 바로 파라미터 변조 취약점이라고 설명

공격 과정에 대한 설명 이후 파라미터 변조 취약점의 대응 방안에 대해 설명

다음으로 프로세스 검증 누락은 무엇인지 설명하고, 그 이후 대응 방안 설명

다음으로 넘어가기 전 파라미터 변조, 불충분한 인가/ 인증, 프로세스 검증 누락에 대해 정리가 안되었을 거 같아서 벤다이어그램으로 정리

마지막으로 신입 부원들에게 실습 과제 안내하고 강의를 마침.