[모의해킹/취약점분석] 취약한 인증 및 불충분한 세션관리

취약한 인증 및 불충분한 세션관리 1. 점검 개요 1) 모의해킹 및 취약점 진단 대상 : 중요 XXX 서비스 2. 취약점 점검 결과 요약 1) 중요 계약서 미리보기 페이지 인증 취약 a. 취약한 접근제어 b. 적절하지 않은 인증 c. 적절하지 않은 인가 d. 불충분한 세션 관리 3. 상세 내용 1) 적절하지 않은 인가 중요 계약서 미리보기 페이지 취약 URL https://abc.site.com/xxx/Bxxxxxxew.do http 요청시 전달되는 파라미터 XXXX_XX 변수값을 조작하여 현재 접속자가 아닌 다른 사용자로 우회 가능 -> 다른 사용자의 계약서 내용 확인가능 파라미터 조작으로 다른 사람 계약서 확인 화면 2. 불충분한 세션 관리 (세션 취약점) 정상 로그인 -> 발급 받은 Session을..