[모의해킹/취약점분석] 취약한 접근제어 (Broken Access Control)

A01 : Broken Access Control (접근 권한 취약점) 엑세스 제어는 사용자가 권한을 벗어나 행동할 수 없도록 정책을 시행합니다. 만약 엑세스 제어가 취약하면 사용자는 주어진 권한을 벗어나 모든 데이터를 무단으로 열람, 수정 혹은 삭제 등의 행위로 이어질 수 있습니다. 점검 개요 특정 이메일 솔루션 취약점 분석 공격자가 URL Parameter 조작을 통하여 다른 사용자의 리소스 접근 가능 (e메일) 점검 상세 내용 1) Parameter 조작을 통한 타 사용자 e메일 내용 해킹 가능 Email ID 임의 대입 -> 타 사용자 메일 리스트 확인 가능 curl 명령어 및 파라미터 조작 명령 실행 결과 -> 받은 편지함 리스트 확인 가능 -> muid (메일번호) 확인 가능 Email ID ..