취약한 인증 및 불충분한 세션관리
1. 점검 개요
1) 모의해킹 및 취약점 진단 대상 : 중요 XXX 서비스
2. 취약점 점검 결과 요약
1) 중요 계약서 미리보기 페이지 인증 취약
a. 취약한 접근제어
b. 적절하지 않은 인증
c. 적절하지 않은 인가
d. 불충분한 세션 관리
3. 상세 내용
1) 적절하지 않은 인가
중요 계약서 미리보기 페이지
취약 URL https://abc.site.com/xxx/Bxxxxxxew.do
http 요청시 전달되는 파라미터 XXXX_XX 변수값을 조작하여 현재 접속자가 아닌
다른 사용자로 우회 가능 -> 다른 사용자의 계약서 내용 확인가능
파라미터 조작으로 다른 사람 계약서 확인 화면
2. 불충분한 세션 관리 (세션 취약점)
정상 로그인 -> 발급 받은 Session을 지속적으로 재사용 가능
아래 그림은 세션 만료가 되지않아 24시간 이후에 정상 접속한 화면
4. 점검 결과
- 중요 계약서 미리 보기 페이지 취약
- 특정 파라미터 조작으로 타인의 중요 계약서 보기 가능
- 중요 계약서 전체 탈취 가능
- 계약서 내 민감 개인 정보 탈취 가능 (주민등록번호, 주소, 전화번호, 성명 등)
- 세션 처리 미흡
5. 권고 및 개선 조치 사항
- 보안 취약 페이지에 인증 강화 필요 (개발 소스 수정 불가피)
- 세션 재사용 방지, 세션 만료 시간 설정등 보완 조치 필수
- 세션 기반 인증, 인가 페이지 전체 점검 필요
본 포스팅은 실제 모의해킹 / 취약점 분석 실제 해킹 사례를 기반으로 작성되었으며
취약점에 대한 모든 보완 조치는 완료된 상태입니다.
민감 정보는 모두 마스킹(가림처리) 처리로 대상 조직에 어떠한 불이익도 없음을 명시합니다.
사이버 보안 업계 종사자나 보안 꿈나무들에게 조금이나마 도움이 되고자 작성한 글이며
악의적, 상업적 용도의 사용 및 가공은 자제 부탁드립니다.
해킹사례 취약한 접근 제어 1탄 (Broken Access Control)
개요 대상 : abcdef 대표 서비스 www.abcdef.com, api.abcdef.com, aaaa.abcdef.com, help.abcdef.com aa.abcdef.com, bbbb.abcdef.com, caaa.abcdef.com (이외 abcdef 서비스 관련 url 다수) 취약점 분석 결..
rootkey.tistory.com
