Skip to content

minority opinions

Menu
  • Contact
  • Home
  • Tags
Menu

[모의해킹/취약점분석] 취약한 인증 및 불충분한 세션관리

Posted on November 17, 2021July 8, 2023 by Daniel J.

취약한 인증 및 불충분한 세션관리

1. 점검 개요


1) 모의해킹 및 취약점 진단 대상 : 중요 XXX 서비스 

2. 취약점 점검 결과 요약


1) 중요 계약서 미리보기 페이지 인증 취약

a. 취약한 접근제어

b. 적절하지 않은 인증

c. 적절하지 않은 인가

d. 불충분한 세션 관리

3. 상세 내용


1) 적절하지 않은 인가

중요 계약서 미리보기 페이지

취약 URL  https://abc.site.com/xxx/Bxxxxxxew.do

http 요청시 전달되는 파라미터 XXXX_XX 변수값을 조작하여 현재 접속자가 아닌

다른 사용자로 우회 가능 -> 다른 사용자의 계약서 내용 확인가능

파라미터 조작으로 다른 사람 계약서 확인 화면

2. 불충분한 세션 관리 (세션 취약점)

정상 로그인 -> 발급 받은 Session을 지속적으로 재사용 가능 

아래 그림은 세션 만료가 되지않아 24시간 이후에 정상 접속한 화면

4. 점검 결과 


  • 중요 계약서 미리 보기 페이지 취약
  • 특정 파라미터 조작으로 타인의 중요 계약서 보기 가능
  • 중요 계약서 전체 탈취 가능
  • 계약서 내 민감 개인 정보 탈취 가능 (주민등록번호, 주소, 전화번호, 성명 등)
  • 세션 처리 미흡

5. 권고 및 개선 조치 사항 


  • 보안 취약 페이지에 인증 강화 필요 (개발 소스 수정 불가피)
  • 세션 재사용 방지, 세션 만료 시간 설정등 보완 조치 필수
  • 세션 기반 인증, 인가 페이지 전체 점검 필요

본 포스팅은 실제 모의해킹 / 취약점 분석 실제 해킹 사례를 기반으로 작성되었으며 취약점에 대한 모든 보완 조치는 완료된 상태입니다. 민감 정보는 모두 마스킹(가림처리) 처리로 대상 조직에 어떠한 불이익도 없음을 명시합니다. 사이버 보안 업계 종사자나 보안 꿈나무들에게 조금이나마 도움이 되고자 작성한 글이 악의적, 상업적 용도의 사용 및 가공은 자제 부탁드립니다

Related

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Category

  • Article (49)
  • Uncategorized (214)
  • 게임 소식 (9)
  • 기술 정보 & 테크 소식 (188)
  • 꿀팁정리 & 자기계발 (250)
  • 블로그 (8)
  • 사건 사고 (3)
  • 역사 (11)
  • 이슈 뉴스 정리 (127)
  • 정치 인물 사회 (22)
  • 주식 경제 (102)

Popular Posts

  • 장사의신 애월 파스타집 고양이 기름때 위생 논란
  • 서울 서이초등학교 학부모 갑질 교사 자살 사건
  • 한문철 전직 보디빌더 인천 주차장 폭행사건 가해자는 누구?
  • 코딩하는 공익 반병현 셀프 바이럴 논란
  • 황의조 휴대폰 해킹, 성관계 사진 인스타 유포

©2023 minority opinions | Design: Newspaperly WordPress Theme