#15. 취약한 직접 객체 참조
Task to do:
어떤 객체를 참조하기 위해서 몇 개의 인증 절차가 필요한데(비밀번호 설정, 가격 리셋..), 클라이언트가 보내는 정보를 모두 믿고 실행하면 문제가 발생할 수 있다는 것이다.
-> 올바른 인증 절차를 거치는 과정이 필요하다.( 특히 클라이언트에서 보내는 정보)
1. Insecure Dor-> 비밀번호를 바꾸는 과정: sql injection login form 에서확인 가능하다.
실제 사례: 고유 숫자 9개를 무작위로 자동 입력 시켜서 가입고객의 고유번호를 맞춘다.
2. Insecure Dor(Reset secrets):
session이라는 특별한 변수를 통해 접근을 처리 할 수 있다.
3. Insecure Dor(order tickets): 상품 가격을 바꿔 버릴 수도 있다. DB의 내용들을 바꿔버리면 쇼핑몰이 피해를 입을 수도 있다. -> 보안을 위해 injection을 막아버린다.
'WEBHACKING > Beebox' 카테고리의 다른 글
| Part 8. 크로스 사이트 요청 변조 (0) | 2019.11.06 |
|---|---|
| Part 7. 기능 수준의 접근 통제 누락 (0) | 2019.11.06 |
| Part 6. 민감 데이터 노출 (0) | 2019.11.06 |
| Part 5- 보안 설정 오류 (0) | 2019.11.06 |
| injection 정리-1 (0) | 2019.10.13 |